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文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西 
方 国家 在 自然 科学 的 各 个 领域 取得 了 垄断 性 的 优势 ， 也 正 是 这 样 的 传 
统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 替 出 、 独 领 风 又 。 在 商业 
化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧 密 地 结合 ， 计 算 机 学 科 中 
的 许多 泰山 北斗 同时 里 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 
著作 ， 不 仅 壁 划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 
范 ， 又 目 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流逝 而 减退 。 








近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅 猛 ， 
对 专业 人 才 的 需求 日 益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 明 ， 
也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 上 显得 举足轻重 。 在 我 国信 息 
技术 发 展 时 间 较 短 的 现状 下 ， 糯 国 等 发 达 国家 在 其 计算 机 科学 发 展 的 几 
十 年 间 积 诈 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 
国外 优秀 计算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作 
用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 大 学 的 必由之路 。 











机 械 工业 出 版 社 华章 公司 较 早 意识 到 “出 版 要 为 教育 服务 ”。 自 1998 
年 开始 ， 我 们 就 将 工作 重点 放 在 了 遵 选 、 移 译 国外 优秀 教材 上 。 经 过 多 
年 的 不 懈 努 力 ， 我 们 与 Pearson, McGraw-Hill, Elsevier, MIT, John 
Wiley & Sons，Cengage 等 世界 著名 出 版 公司 建立 了 良好 的 合作 关系 ， 从 


他 们 现 有 的 数 百 种 教材 中 甄选 出 Andrew S.Tanenbaum, Bjarne 
Stroustrup, Brain W.Kernighan, Dennis Ritchie, Jim Gray, Afred 
V.Aho, John E.Hopcroft, Jeffrey D.Ullman, Abraham Silberschatz, 
William Stallings, Donald E.Knuth, John L.Hennessy, Larry L.Peterson 
SEK IMA A CASE E i» DAT SELB SA WARE, AERA 
学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 从 书 的 品位 和 
格调 。 





“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 易 力 囊 助 ， 国 内 
的 专家 不 仅 提 供 了 中 肯 的 选 题 指导 ， 还 不 辞 劳 兰 地 担任 了 翻译 和 审 校 的 
工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 中 国 的 传播 ， 有 的 还 专程 为 其 
书 的 中 译本 作 序 。 运 今 ,，“ 计 算 机 科学 从 书 ” 已 经 出 版 了 近 两 百 个 品种 ， 
这 些 书 籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 
参考 书籍 。 其 影印 版 < 经典 原版 书库 ?作为 姊妹 篇 也 家 越 来 越 多 实施 双语 
教学 的 学 校 所 采用 。 




















权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编 
辑 ， 这 些 因素 使 我 们 的 图 书 有 了 质量 的 保证 。 随 独 计算 机 科学 与 技术 专 
业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐渐 深化 ， 教 育 界 对 国外 计算 机 教 
材 的 需求 和 应 用 都 将 步 入 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反 
馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 半 公 司 欢 迎 老 师 和 
读者 对 我 们 的 工作 提出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 











联系 电话 : 


联系 地 址 : 


邮政 编码 : 


: Www.hzbook.com 


: hzjsj@hzbook.com 


(010) 88379604 








北京 市 西城 区 百 万 庄 南 街 1 号 





100037 


译 者 序 





自 密 码 学 从 外 交情 报 和 军事 领域 走向 公开 后 ， 密 码 学 文献 难 站 的 窘 
卉 已 大 为 改观 ， 但 密码 学 资料 的 临 涩 难 懂 却 依然 如 故 。 广 大 研究 人 员 和 
读者 一 直 盼 望 能 有 一 本 全 面 介 绍 当代 密码 学 现状 且 可 读 性 强 的 著作 。 
Bruce Schneierit#% «Applied Cryptography: Protocols, Algorithms, and 
Source Code in C》 一 书 正 是 这 样 一 部 集大成 之 作 。 本 书 以 生动 的 描述 和 
朴实 的 文风 将 当代 密码 学 的 方方面面 熔 于 一 炉 ，1994 年 第 1 版 一 经 推出 
即 在 国际 上 引起 广泛 关注 ， 成 为 近 几 年 来 引用 最 多 、 销 量 最 大 的 密码 学 
专著 ， 极 大 地 推动 了 国际 密码 学 研究 与 应 用 的 发 展 。 作 者 顺应 近年 来 世 
界 各 国 对 信息 安全 普遍 关注 的 趋势 ， 结 合 第 1 版 问世 以 来 密码 学 的 新 成 
果 ， 于 1996 年 推出 了 第 2 版 ， 仍 是 好 评 如 潮 。 本 书 即 根据 第 2 版 译 出 。 

















本 书 作者 没有 将 密码 学 的 应 用 仪 仪 局 限 在 通信 保密 性 上 ， 而 是 紧 扣 
密码 学 的 发 展 轨迹 ， 从 计算 机 编程 和 网 络 化 应 用 方面 ， 曾 述 了 密码 学 从 
协议 、 技 术 、 算 法 到 实现 的 方方面面 。 该 书 详细 解释 了 大 量 的 新 概念 ， 
如 盲 签名 、 失 败 终止 签名 、 零 知识 证 明 、 位 承诺 、 数 字 化 现金 和 保密 的 
多 方 计 算 等 ， 问 读者 全 面 展示 了 现代 密码 学 的 新 进展 。 





本 书 的 核心 部 分 目 然 是 论述 密码 协议 、 技 术 和 算法 的 一 系列 革 市 
作者 收集 了 大 量 的 公开 密 钥 和 私人 密 钥 密码 体制 的 实例 ， 内 容 几 乎 涵 瘟 
了 所 有 已 公开 发 表 的 具有 实用 性 的 密码 算法 。 作 者 将 它们 分 门 别 类 ， 一 


一 评论 。 其 中 ， 对 密码 技术 中 密 钥 管理 技术 和 算法 的 分 析 与 总 结 详尽 全 
面 ， 对 数 十 种 密码 算法 的 软件 实现 提出 了 务实 可 行 的 建议 ， 对 苏联 和 南 
非 的 一 些 算法 的 介绍 更 是 引人入胜 。 对 编程 人 员 和 通信 专业 人 士 来 说 ， 
本 书 尤 若 百 科 全 书 。 难 怪 美 国 《Wired》 杂 志 说 这 是 一 本 美国 国家 安全 
局 永远 也 不 愿 看 到 它 问世 的 密码 学 著作 。 此 外 ， 作 者 还 简 述 了 各 种 散 列 
函数 和 签名 方案 ， 并 结合 实例 说 明了 如 何 有 效 地 利用 现 有 的 工具 箱 ， 特 
别 指 出 了 实现 保密 协议 的 方法 ， 比 如 育 签 名 和 和 零 知 识 证 明 。 同 时 ， 还 涉 
猪 了 密码 学 领域 中 不 少时 墅 的 话题 ， 比 如 阀 下 信道 、 秘 密 共 享 、 隐 写 技 
术 和 量子 密码 学 等 。 











该 书 的 第 四 部 分 也 颇具 特色 ， 它 以 “真实 世界 "为 题 ， 向 人 们 展示 了 
密码 学 应 用 于 社会 的 真实 情况 。 首 先 ， 作 者 用 十 多 个 实际 的 例子 ， 讨 论 
密码 学 应 用 于 计算 机 网 络 的 现实 情况 ， 内 容 包括 了 国外 大 多 数 的 商用 保 
密 协 议 ， 如 IBM 公 司 的 密 钥 管理 方案 、 应 用 较 多 的 KryptoKnight、ISO 的 
鉴别 框架 、 因 特 网 中 的 保密 增强 型 电子 邮件 产品 PEM 以 及 PGP 安 全 软 
件 ， 甚 至 还 讨论 了 密码 学 界 的 热门 话题 一 一 美国 军用 保密 电话 STU- 
II、 商 用 密码 芯片 Clipper 和 Capstone。 接 着 ， 作 者 从 政治 角度 探讨 了 美 
国 的 密码 政策 ， 其 中 对 围绕 专利 的 争论 、 出 口 许可 证 的 管理 和 密 钥 第 三 
方 托管 的 评说 ， 都 让 国内 读者 耳目 一 新 。 











当然 ， 纵 览 全 书 ， 也 不 难看 出 本 书 的 不 足 ， 如 序列 密码 、 密 码 的 形 
式 证 明 、 和 密码 学 在 金融 系统 (或 银行 》 和 和 苗 事 系统 中 的 应 用 等 方面 的 内 


容 略 显 不 足 。 加 之 本 书 内 容 广 博 ， 作 者 在 对 引用 资料 的 使 用 上 也 有 一 些 
失误 。 但 是 ， 正 如 作者 在 前 言 中 所 说 ， 本 书 的 目的 是 将 现代 密码 学 的 精 
髓 带 给 计算 机 编程 人 员 、 通 信 与 信息 安全 专业 人 员 和 对 此 有 兴趣 的 爱好 
者 ， 从 这 个 角度 看 ， 上 述 的 缺陷 当 在 情理 之 中 。 





参加 本 书 翻译 和 校对 的 同志 有 : STE. WEE TRL. RA 
E Ze ar. PGT. FEAR, TAE BEAL. Fh EXA, EM 

Me. PLE, BE, Pi. ER, MAE ORAS. BERTE. 
本 书 最 后 由 吴 世 忠 、 祝 世 雄 统 稿 。 何 德 全 院士 在 百 忙 之 中 审 校 了 全 部 译 
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必须 指出 的 是 ， 该 书 内 容 浩 蚂 ， 由 多 人 翻译 ， 限 于 水 平和 经 验 ， 加 
之 密码 学 的 很 多 概念 在 译 法 上 本 号 束 有 难度 ， 故 而 诬 误 在 所 难免 ， 敬 请 


读者 见谅 。 


Whitfield Diffie 序 


密码 学 文献 有 一 个 奇妙 的 发 展 历程 。 当 然 ， 保 密 总 是 扮演 着 主要 角 
色 ， 但 是 直到 第 一 次 世界 大 战 之 前 ， 密 码 学 重要 的 进展 很 少 出 现在 公开 
文献 中 ， 但 该 领域 却 和 其 他 专业 学 科 一 样 一 直 在 向 前 发 展 。 直 到 1918 
年 ，20 世 纪 最 有 影响 的 密码 分 析 文 章 之 一 
论文 “The Index of Coincidence and Its Applications in Cryptography” (Œ. 
合 指数 及 其 在 密码 学 中 的 应 用 ) 197 作为 私立 Riverbank 实 验 室 的 一 
份 研究 报告 问世 了 。 其 实 ， 这 篇 论文 所 涉及 的 工作 是 在 战 时 完成 的 。 同 
年 ， 加 州 奥克兰 的 Edward H.Hebermn 申 请 了 第 一 个 转 轮 机 专利 L710 ， 
这 种 装置 在 差不多 50 年 里 被 指定 为 美军 的 主要 密码 设备 。 

















William F.Friedman 的 专题 











然而 ， 第 一 次 世界 大 战 之 后 ， 情 况 开 始 变化 ， 完 全 处 于 秘密 工作 状 
态 的 美国 陆军 和 海军 的 机 要 部 门 开始 在 密码 学 方面 取得 根本 性 的 进展 。 
在 20 世 纪 三 四 十 年 代 ， 有 多 篇 基础 性 的 文章 出 现在 公开 的 文献 中 ， 还 出 
现 了 几 篇 专题 论文 ， 只 不 过 这 些 论文 的 内 容 离 当时 真正 的 技术 水 平 相去 
甚 远 。 战 争 结束 时 ， 情 况 急转直下 ， 公 开 的 文献 几乎 列 尽 。 只 有 一 个 突 
出 的 例外 ， 那 就 是 Claude Shannon 的 文章 “The Communication Theory of 
Secrecy Systems”( 保 密 系统 的 通信 理论 ) [1432」 出 现在 1949 年 的 
(Bell System Technical Journal) (贝尔 系统 技术 杂志 ) 上 ， 它 类 似 于 
Friedman 1918 年 的 文章 ， 也 是 战 时 工作 的 产物 。 这 篇 文章 在 第 二 次 世界 














大 战 结束 后 即 被 解密 ， 可 能 是 由 于 失误 。 


从 1949 年 到 1967 年 ， 密 码 学 文献 近乎 空白 。1967 年 ， 一 部 与 众 不 同 
的 著作 (David Kahn 的 《The Codebreakers》“【〔 破 译 者 ) 1794) ) 出 现 
了 ， 它 并 没有 任何 新 的 技术 思想 ， 但 却 对 密码 学 的 历史 做 了 相当 完整 的 
记述 ， 包 括 提 及 政府 仍然 认为 是 秘密 的 某 些 事情 。 这 部 著作 的 意义 不 仅 
在 于 它 涉及 了 相当 广泛 的 领域 ， 而 且 在 于 它 使 成 后 上 万 原本 不 知道 密码 
学 的 人 了 解 了 密码 学 。 新 的 密码 学 文章 开始 源源 不 断 地 发 表 出 来 。 








大 约 在 同一 时 期 ， 早 期 为 空军 研制 敌我 识别 装置 的 Horst Feistel 在 位 
于 纽约 约克 镇 高 地 的 IBM Watson 实验 室 里 花费 了 毕生 精力 致力 于 密码 学 
的 研究 。 那 里 他 开始 着 手 进行 美国 数据 加 密 标 准 (Data Encryption 
Standard, DES) 的 研究 ，20 世 纪 70 年 代 初 期 ，IBM 发 表 了 Feistel 和 他 的 
同事 在 这 个 课题 方面 的 多 篇 技术 报告 [1482、1484、552] 。 





这 就 是 我 于 1972 年 年 底 涉 足 密 码 学 领域 时 的 情形 ， 当 时 密码 学 的 文 
献 还 不 丰富 ， 但 也 包括 一 些 非常 有 价值 的 东西 。 





密码 学 提出 了 一 个 一 般 学 科 领 域 都 难以 遇 到 的 难题 : 它 需 要 密码 学 
和 和 密码 分 析 学 紧密 结合 、 互 为 促进 。 这 是 由 于 缺乏 实际 通信 需求 所 致 。 
提出 一 个 表面 上 看 似 不 可 破译 的 系统 并 不 难 ， 但 许多 学 术 性 的 设计 非常 
复杂 ， 以 至 于 密码 分 析 家 不 知 从 何 入 手 ， 分 析 这 些 设计 中 的 汤 洞 远 比 最 
初 设计 它们 更 难 。 结 果 是 ， 那 些 可 以 强劲 推动 学 术 研 究 的 竞争 过 程 在 密 





码 学 中 并 设 起 多 大 作用 。 


当 我 和 Martin Hellman 在 1975 年 提出 公开 密 钥 密码 学 “454 时 ， 我 
们 贡献 的 一 个 方面 是 引入 了 一 个 看 来 不 易 解决 的 难题 。 现 在 有 抱负 的 密 
码 体 制 设计 者 能 够 提出 被 认为 是 很 聪明 的 一 些 东西 一 一 这 些 东 西 比 只 是 
把 有 意义 的 正文 变 成 无 意义 的 乱 语 更 有 用 。 结 果 是 研究 密码 学 的 人 数 、 
召开 的 会 议 、 发 表 的 论文 和 专著 数 都 惊人 地 增加 了 。 














我 在 接受 Donald E.Fink 交 《该 奖 是 奖 给 在 IEEE 杂 志 上 人 发表 过 最 佳 文 
章 的 人 ， 我 和 Hellman 在 1980 年 共同 获得 该 奖 ) 发 表演 讲 时 ， 告 诉 听 
众 ， 我 在 写 “Privacy and Authentication”( 保 密 性 与 鉴别 ) 一 文 时 有 一 种 
体验 一 一 这 种 体验 ， 我 相信 即使 在 那些 参加 IEEE 授 奖 会 的 著名 学 者 当中 
也 是 罕见 的 : 我 写 的 那 篇 文章 ， 并 非 我 的 研究 结果 而 是 我 想 要 研究 的 课 
题 。 因 为 在 我 首次 沉迷 于 密码 学 的 时 候 ， 这 类 文章 根本 就 找 不 到 。 如 果 
那 时 我 可 以 走 进 斯 坦 福 书店 ， 挑 选 现代 密码 学 的 书籍 ， 我 也 许 能 在 多 年 
前 就 了 解 这 个 领域 了 。 但 是 在 1972 年 秋季 ， 我 能 找到 的 资料 仅仅 是 几 篇 
经 典 论文 和 一 些 难以 理解 的 技术 报告 而 已 。 








现在 的 研究 人 员 再 也 不 会 遇 到 这 样 的 问题 了 ， 他 们 的 问题 是 要 在 大 
量 的 文章 和 书籍 中 选择 从 何 处 入 手 。 研 究 人 员 如 此 ， 那 些 仅 仅 想 利用 密 
码 学 的 程序 员 和 工程 师 又 会 怎样 呢 ? 这 些 人 会 转 癌 哪里 呢 ? 直到 今天 ， 
在 能 够 设计 出 一 般 文章 中 所 描述 的 那 类 密码 实用 程序 之 前 ， 花 费 大 量 时 
间 寻 找 并 研究 那些 文献 仍然 是 很 有 必要 的 。 





本 书 正好 填补 了 这 个 空白 。 作 者 Bruce Schneier 从 通信 保密 性 的 目的 
和 达到 目的 所 用 的 基本 程 厅 实 例 入 手 ， 对 20 年 来 公开 研究 的 全 部 成 果 做 
了 全 景 式 的 概括 。 书 名 开门 见 山 ， 从 首次 叫 菜 人 进行 保密 会 话 的 世俗 目 
的 ， 到 数字 货币 和 以 密码 方式 进行 保密 选举 的 可 能 性 ， 到 处 都 可 以 发 现 
应 用 密码 学 的 地 方 。 


Schneier 不 满足 于 这 本 书 仅仅 涉及 真实 世界 〈 因 为 此 书 叙 述 了 直至 
代码 的 全 部 过 程 ) ， 他 还 叙述 了 发 展 密码 学 和 应 用 密码 学 的 那些 领域 ， 
讨论 了 从 国际 密码 研究 协会 到 国家 安全 局 这 样 的 一 些 机 构 。 





在 20 世 纪 70 年 代 后 期 和 80 年 代 初 期 ， 当 公众 显示 出 对 密码 学 的 兴趣 
时 ， 国 家 安全 局 CNSA) ， 即 美国 官方 密码 机 构 ， 兽 多 次 试图 平 居 它 。 
第 一 次 是 一 封 来 自 一 名 长 期 在 NSA 工 作 的 雇员 的 信 ， 据 说 这 封 信和 是 这 个 
雇员 目 己 写 的 ， 此 雇员 目 认 为 如 此 ， 表 面 上 看 来 亦 是 如 此 。 这 封 信 和 是 发 
给 IEEE 的 ， 它 警告 密码 资料 的 出 版 违反 了 国际 武器 交易 条 例 
CTAR) 。 然 而 这 种 观点 并 没有 被 条 例 本 身 所 文 持 《〈 条 例 明显 不 包括 
已 发 表 的 资料 ) 。 但 这 封 信 却 为 密码 学 的 公开 实践 和 1977 年 的 信息 论 专 
题 研讨 会 做 了 许多 意 想 不 到 的 宣传 。 














一 个 更 为 严重 的 事态 及 生 在 1980 年 ， 当 时 NSA 为 美国 教育 委员 会 提 
供 资 金 ， 说 服 国 会 对 密码 学 领域 的 出 版 物 进行 合法 的 控制 。 结 果 与 NSA 
的 愿望 大 相 径 姓 ， 形 成 了 密码 学 论文 自愿 送审 的 程序 。 研 究 人 员 在 论文 
发 表 之 前 需 束 发 表 是 否 有 损 国家 利益 征询 NSA 的 意见 。 











随 看 20 世 纪 80 年 代 的 到 来 ，NSA 将 重点 更 多 地 集中 在 密码 学 的 实际 
应 用 ， 而 不 是 研究 上 。 现 有 的 法 律 授 权 NSA 通 过 国务 院 控制 密码 设备 的 
出 口 。 随 着 商务 活动 的 日 益 国际 化 和 世界 市 场 上 美国 份额 的 减少 ， 国 内 
外 市 场 上 需要 单一 产品 的 压力 增加 了 。 这 种 单一 产品 受到 出 口 控制 ， 于 
是 NSA 不 仅 对 出 口 什么 ， 而 且 也 对 在 美国 出 售 什么 都 施加 了 相当 大 的 影 
啊 。 


密码 学 的 公开 使 用 面临 一 种 新 的 挑 成 ， 政 府 建议 在 可 防止 涂改 的 必 
片上 用 一 种 秘密 算法 代替 广为人知 且 随 处 可 得 的 DES， 这 些 必 片 将 含有 
政府 监控 所 需 的 编 竺 机 制 。 这 种 “ 密 钥 托管 ”计划 的 浆 病 是 它 淤 在 地 损害 
了 个 人 隐私 ， 并 且 以 前 的 软件 加 密 不 得 不 以 高 价 增 加 硬件 来 实现 。 迄 
今 ， 密 钥 托 管 产 品 正 值 能 市 ， 这 种 方案 却 已 经 引起 了 广泛 的 批评 特别 
是 那些 独立 的 密码 学 家 和 怨声载道 。 然 而， 人 们 看 到 更 多 的 是 编程 技术 的 
未 来 而 不 是 政治 ， 并 且 还 加 倍 努 力 向 世界 提供 更 强 的 密码 ， 这 种 密码 能 
够 实现 对 公众 的 监督 。 














从 出 口 控制 法 律 取代 第 一 修正 案 的 意见 来 看 ，1980 年 发 生 了 大 倒 
退 ， 当 时 《Federal Register) 《联邦 公报 ) 公布 了 对 ITAR 的 修正 ， 其 中 
提 到 :“.……. 增 加 的 条 款 清楚 地 说 明 ， 技 术 数 据 出 口 的 规定 并 不 干预 第 
一 修正 案 中 个 人 的 权利 。” 但 事实 上 ， 第 一 修正 案 和 出 口 控制 法 律 的 紧 
张 关 系 还 未 消除 ， 最 近 由 RSA 数 据 安 全 公司 召开 的 一 次 会 议 清 楚 地 表明 
了 这 一 点 。 出 口 控制 办 公 室 的 NSA 代 表 表 达 了 如 下 意见 ， 发表 密 码 程序 


的 人 从 法 律 上 说 是 处 在 “灰色 领域 "。 如 果真 是 这 样 的 话 ， 本 书 第 1 版 业 
已 曝光 ， 内 容 也 处 在 “灰色 领域 "中 。 本 书 自身 的 出 口 申 请 已 经 得 到 军需 
品 控制 委员 会 当局 在 出 版 物 条 球 下 的 认可 ， 但 是 ， 装 在 磁盘 上 的 程序 的 
出 口 申请 却 焉 到 拒绝 。 











NSA 的 策略 从 试图 控制 密码 研究 到 紧 紧 抓 住 密 码 产 品 的 开发 和 应 用 
的 改变 ， 可 能 是 由 于 认识 到 即便 是 世界 上 所 有 最 好 的 密码 学 论文 都 不 能 
保护 哪 介 是 一 位 的 信息 。 如 果 束 之 高 净 ， 本 书 也 许 不 比 以 前 的 蔬 和 文章 
更 好 ， 但 寿 置 于 程序 员 编写 密码 的 工作 站 和 芝 ， 这 本 书 无 疑 是 最 好 的 。 











Whitfield Diffie 


于 加 州 Mountain View 


2 
日 a 


世界 上 有 两 种 密码 : 一 种 是 防止 小 孩 偷 看 你 的 文件 ， 男 一 种 是 防止 
当局 阅读 你 的 文件 。 本 书写 的 是 后 一 种 情况 。 





如 末 把 一 封 信 锁 在 保险 柜 中 ， 把 保险 柜 藏 在 纽约 的 某 个 地 方 ， 然 后 
告诉 你 去 看 这 封 信 ， 这 并 不 是 安全 ， 而 是 隐藏 。 相 反 ， 如 果 把 一 封 信 锁 
在 保险 柜 中 ， 然 后 把 保险 柜 及 其 设计 规范 和 许多 同样 的 保险 柜 给 你 ， 以 
便 你 和 世界 上 最 好 的 开 保险 柜 的 专家 能 够 研究 锁 的 装置 ， 而 你 还 是 无 法 
打开 保险 柜 去 读 这 封 信 ， 这 才 是 安全 的 概念 。 


许多 年 来 ， 密 码 学 是 军队 专 有 的 领域 。NSA 和 和 苏联、 英国 、 法 国 、 
以 色 列 以 及 其 他 国家 的 安全 机 构 已 将 大 量 的 财力 投入 到 加 密 上 自己 的 通 
信 ， 同 时 又 千方百计 地 破译 别人 的 通信 的 残酷 游戏 中 。 面 对 这 些 政府 ， 
个 人 既 无 专业 知识 又 无 足够 财力 保护 自己 的 秘密 。 


在 过 去 的 20 年 里 ， 公 开 的 密码 学 研究 爆炸 性 地 增长 。 从 第 二 次 世界 
大 战 以 来 ， 当 普通 公民 还 在 长 期 使 用 经 典 密码 时 ， 计 算 机 密码 学 已 成 为 
世界 军事 专 有 的 领域 。 今 天 ， 最 新 的 计算 机 密码 学 已 应 用 到 军事 机 构 
外 ， 现 在 就 连 非 专业 人 员 都 可 以 利用 密码 技术 去 阻止 最 强大 的 敌人 ， 包 
括 军 方 的 安全 机 构 。 








普通 百姓 真 的 需要 这 种 保密 性 吗 ? 是 的 ， 他 们 可 能 正在 集 划 一 次 政 


治 运动 ， 讨 论 税收 或 正 干 一 件 非法 的 事情 ; 也 可 能 正 设计 一 件 新 产品 ， 
讨论 一 种 市 场 俩 略 ， 或 计划 接管 竞争 对 手 的 生意 ;或 者 可 能 生活 在 一 个 
不 尊重 个 人 隐私 权 的 国家 ， 也 可 能 做 一 些 他 们 自己 认为 并 非 违法 实际 却 
古 非 法 的 事情 。 不 管理 由 是 什么 ， 他 的 数据 和 通信 都 是 私人 的 、 秘 密 

的 ， 与 他 人 无 关 。 


本 书 正 好 在 混乱 的 年 代 出 版 。1994 年 ， 克 林 顿 当局 核准 了 托管 加 密 
标准 (包括 Clipper 心 片 和 Fortezza 卡 )， 并 将 数字 电话 法 案 签 区 成 为 法 
律 。 这 两 个 行政 令 企图 确保 政府 实施 电子 监控 的 能 


一 些 危险 的 Orwellian 假 设 在 作 景 : 政府 有 权 侦 听 私 人 通信 ， 个 人 对 
政府 保守 秘密 是 错误 的 。 如 果 可 能 ， 法 律 总 有 能 力 强 制 实施 法 院 授 权 的 
监控 ， 但 是 ， 这 是 公民 第 一 次 被 迫 和 采取“ 积极 措施 ”， 以 使 他 们 目 己 能 被 
监控 。 这 两 个 行政 令 并 不 是 政府 在 东 个 模糊 范围 内 的 简单 倡议 ， 而 是 一 
种 先发制人 的 蛙 方 面 尝试 ， 则 在 侵占 以 前 属于 公民 的 权力 。 











Clipper 和 数字 电话 不 保护 隐私 ， 它 强迫 个 人 无 条 件 地 相信 政府 将 章 
重 他 们 的 隐私 。 非 法 盘 听 小 马丁 :路 德 : 金 电话 的 执法 机 构 ， 同 样 也 能 容 
易 地 锅 昕 用 Clipper 保 护 的 电话 。 最 近 ， 地 方 警察 机 关 在 不 少 管区 都 有 因 
非法 窃听 而 被 控 有 罪 或 被 提出 民事 诉讼 的 事件 ， 这 些 地 方 包括 马里 兰 、 
康涅狄格 、 人 佛蒙特、 佐治亚 、 密 苏 里 和 内 华 达 。 为 了 随时 方便 警察 局 的 
工作 而 配置 这 种 技术 是 很 粮 糕 的 想法 。 


这 给 我 们 的 教训 是 采用 法 律 手 段 并 不 能 充分 保护 我 们 目 己 ， 还 需要 
用 数学 来 保护 自己 。 加 密 太 重 要 了 ， 不 能 让 给 政府 独 圣 。 











本 书 为 你 提供 了 一 些 可 用 来 保护 目 己 隐私 的 工具 。 提 供 密码 产品 可 
能 被 宣布 为 非法 ， 但 提供 有 关 的 信息 绝 不 会 犯法 。 





怎样 阅读 本 书 


我 写本 书 的 目的 是 为 了 在 真实 地 介绍 密码 学 的 同时 给 出 全 面 的 参考 
文献 。 我 尽量 在 不 损失 正确 性 的 情况 下 保持 本 书 的 可 读 性 ， 我 不 想 使 本 
书 成 为 一 本 数学 书 。 虽 然 我 无 意 给 出 任何 错误 信息 ， 但 匆忙 中 理论 难免 
有 失 严 说 。 对 形式 方法 感 兴趣 的 人 ， 可 以 参考 大 量 的 学 术 文 献 。 














第 1 章 介 绍 密码 学 ， 定 义 许 多 术语 ， 简 要 讨论 计算 机 出 现 前 密码 学 


第 一 部 分 〈 第 2 一 6 章 ) 描述 密码 学 的 各 种 协议 ;人们 能 用 密码 学 做 
什么 。 协 议 范 围 从 简单 《一 人 同 另 一 人 发 送 加 密 消 轧 ) 到 复杂 《在 电话 
EHER 再 到 深奥 〈 秘 密 的 和 匿名 的 数字 货币 交易 ) 。 这 些 协 议 中 
有 些 一 目 了 然 ， 有些 却 十 分 奇 寞 。 密 码 学 能 够 解决 大 多 数 人 绝 没 有 认识 
到 的 许多 问题 。 


第 二 部 分 〈 第 7 一 10 章 ) 讨论 密码 技术 。 对 密码 学 的 大 多 数 基本 应 
用 来 次， 这 一 部 分 的 4 章 都 很 重要 。 第 7 章 和 第 8 章 讨 论 密 钥 : 密 钥 应 选 





多 长 才能 保密 ， 怎 样 产生 、 存 储 密 钥 ， 怎 样 处 理 密 钥 等 。 密 钥 管理 是 密 
码 学 最 困难 的 部 分 ， 经 常 是 保密 系统 的 一 个 致命 弱点 。 第 9 章 讨 论 使 用 
密码 算法 的 不 同方 法 。 第 10 章 给 出 与 算法 有 关 的 细节 : 怎样 选择 、 实 现 
和 使 用 算法 。 


第 三 部 分 《第 11 一 23 章 ) 列 出 多 个 算法 。 第 11 章 提供 数学 背景 ， 如 
果 你 对 公开 密 钥 算法 感 兴趣 ， 那 么 这 一 章 你 一 定 要 了 解 。 如 果 你 只 想 实 
现 DES 或 类 似 的 东西 )， 则 可 以 跳 过 这 一 章 。 第 12 章 讨论 DES: DES 
算法 、 它 的 历史 、 安 全 性 和 一 些 变型 。 第 13 一 15 章 讨论 其 他 的 分 组 算 
法 : 如 果 你 需要 比 DES 更 保密 的 算法 ， 请 阅读 IDEA 和 三 重 DES 算 法 这 
节 ; 如 果 你 想 知道 一 系列 比 DES 算 法 更 安全 的 算法 ， 就 请 读 完整 章 。 第 
16 章 和 第 17 章 讨论 序列 密码 算法 。 第 18 章 集中 讨论 单 向 散 列 函数 ， 虽 然 
讨论 了 多 种 单 向 散 列 函 数 ， 但 MD5 和 SHA 是 最 通用 的 。 第 19 章 讨论 公开 
密 钥 加 密 算 法 。 第 20 章 讨论 公开 密 钥 数字 签名 算法 。 第 21 章 讨论 公开 密 
钥 鉴 别 算法 。 第 22 章 讨论 公开 密 钥 交换 算法 。 几 种 重要 的 公开 密 钥 算法 
分 别 是 
公开 密 钥 算法 和 协议 ， 这 一 章 的 数学 知识 非常 复杂 ， 请 你 做 好 思想 准 
备 。 














RSA、DSA、Fiat-Shamir 和 Diffie-Hellman。 第 23 章 讨论 更 深奥 的 








第 四 部 分 第 24~25 章 ) 转向 密码 学 的 真实 世界 。 第 24 章 讨论 这 些 
算法 和 协议 的 一 些 实际 实现 ， 第 25 章 涉及 围绕 密码 学 的 一 些 政治 问题 。 
这 些 章节 并 不 全 面 。 





此 外 ， 本 书 还 包括 在 第 三 部 分 讨论 的 10 个 算法 的 源 代码 清单 ， 由 于 
篇 幅 的 限制 ， 不 可 能 给 出 所 有 的 源 代码 ， 况 且 密 码 的 源 代码 不 能 出 口 
(非常 奇怪 的 是 ， 国 务 院 允 许 本 书 的 第 1 版 和 源 代码 出 口 ， 但 不 允许 含 
有 同样 源 代码 的 计算 机 磁盘 出 口 ) 。 配 套 的 源 代 码 盘 中 包括 的 源 代码 比 
本 书 中 列 出 的 要 多 得 多 ， 这 也 许 是 除 军事 机 构 以 外 最 大 的 密码 源 代码 
集 。 我 只 能 给 住 在 美国 和 加 拿 大 的 公民 发 送 源 代码 盘 ， 但 我 希望 有 一 天 
这 种 情况 会 改变 。 








对 本 书 的 一 种 批评 是 ， 它 的 广博 性 代 普 了 可 读 性 。 这 是 对 的 ， 但 我 

想 给 可 能 偶然 在 学 术 文献 或 产品 中 需要 算法 的 人 提供 参考 。 密 人 码 学 领域 
正 日 趋 热 门 ， 这 是 第 一 次 把 这 么 多 资料 收集 在 一 本 书 中 。 即 使 这 样 ， 还 
是 有 许多 东西 限于 篇 幅 舍 弃 了 ， 但 尽量 你 留 了 那些 我 认为 是 重要 的 、 有 
实用 价值 的 或 者 有 趣 的 专题 。 如 果 我 对 茶 一 专题 讨论 不 深 ， 我 会 给 出 深 
入 讨论 这 些 专题 的 参考 文献 。 











我 在 写作 过 程 中 已 尽力 查 出 和 根除 书 中 的 错误 ， 但 我 相信 不 可 能 消 
除 所 有 的 错误 。 第 2 版 肯定 比 第 1 版 的 错误 少 得 多 。 勘 误 表 可 以 从 我 这 里 
得 到 ， 并 且 它 定期 用 往 Usenet 的 新 闻 组 sci.crypt。 如 宋 读者 发 现 错误 ， 请 
通知 我 ， 我 将 不 胜 感谢 。 





Bruce Schneier 


Ble ”基础 知识 


1.1 专业 术语 


1.1.1 发 送 者 和 接收 者 


假设 肥 送 者 (sender) 想 发 送 消息 给 接收 者 (receiver) ， 并 且 想 安 
全 地 发 送信 息 : 她 想 确 信 窜 听 者 不 能 阅读 发 送 的 消息 。 


11.2 ”消息 和 加 密 


消息 (message) 称 为 明文 (plaintext) 。 用 某 种 方法 伪装 消息 以 隐 
藏 它 的 内 容 的 过 程 称 为 加 密 〈encryption) ， 被 加 密 的 消息 称 为 密 文 
(ciphertext) ， 而 把 密 文 转变 为 明文 的 过 程 称 为 解密 (decryption) 。 
图 1-1 表 明了 这 个 过 程 。 





(如 果 你 遵循 ISO 7498 一 2 标准 ， 那 就 用 到 术语 “ 译 成 密码 
(encipher) ”和 “ 解 译 密码 (decipher) ”。 某 些 文 化 似乎 认为 术语 “加 密 
Cencrypt) ”和 “解密 (decrypt) ” 令 人 生 厌 ， 如 同 陈 年 腐 尸 。) 


日 RE 14 A 
= o m H 


图 1-1 加密 和 解密 


使 消息 保密 的 技术 和 科学 叫做 密码 编码 学 (cryptography) ， 从 事 
此 行 的 人 叫做 密码 编码 者 〈cryptographer) ， 密 码 分 析 者 
Ccryptanalyst) 是 从 事 蜜 码 分 析 的 专业 人 员 ， 答 码 分 析 学 
(cryptanalysis) 就 是 破译 密 文 的 科学 和 技术 ， 即 揭 罕 伪装 。 窗 但 学 
(cryptology) 作为 数学 的 一 个 分 文 ， 包 括 密 码 编码 学 和 密码 分 析 学 两 
部 分 ， 精 于 此 道 的 人 称 为 密码 学 家 Ceryptologist) ， 现 代 的 密码 学 家 通 
也 是 理论 数学 家 。 





了 Ht 


a 


明文 用 M 或 P 表 示 ， 它 可 能 是 位 序列 、 文 本 文件 、 位 图 、 数 字 化 的 
语音 序列 或 数字 化 的 视频 图 像 等 。 对 于 计算 机 ，M 指 简单 的 二 进 制 数据 
(除了 这 一 章 外 ， 本 书 只 涉及 二 进 制 数 据 和 计算 机 密码 学 ) 。 明 文 可 被 
传送 或 存储 ， 无 论 哪 种 情况 ，M 指 竺 加密 的 消 妃 。 





密 文 用 C 表 示 ， 它 也 是 二 进 制 数据 ， 有 时 和 M 一 样 大 ， 有 时 比 M 大 
“通过 压缩 和 加 密 的 结合 ，C 有 可 能 比 P 小 。 仅 通过 加 密 通 癌 做 不 到 这 
KA) 。 加 密 函 数 E 作 用 于 M 得 到 密 文 C， 可 用 数学 公式 表示 : 


E (M) =C 
相反 地 ， 解 密 函 数 DD 作用 于 C 产 生 M: 


D (C) =M 


先 加 密 后 再 解密 ， 原 始 的 明文 将 恢复 ， 故 下 面 的 等 式 必须 成 立 : 


D (Œ (M) ) =M 


1.1.3 鉴别 、 完 整 性 和 抗 抵赖 


除了 提供 机 密 性 外 ， 密 码 学 通常 还 有 其 他 的 作用 : 


Jue a 


鉴别 (authentication) 消息 的 接收 者 应 该 能 够 确认 消息 的 来 
Vis 入 侵 者 不 可 能 伪装 成 他 人 。 


完整 性 Cntegrity) 消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消 
恩 没 有 被 修改 ;入 侵 者 不 可 能 用 假 消 息 代 替 合 法 消息 。 





. 抗 抵 赖 (nonrepudiation) ”发 送 者 事后 不 可 能 虚假 地 人 否认 他 发 送 
的 消息 。 


这 些 功能 是 通过 计算 机 进行 社会 交流 至 关 重 要 的 需求 ， 就 像 面 对 面 
交流 一 样 。 茶 人 是 否 就 是 他 说 的 人 ;， 茶 人 的 身份 证 明文 件 〈 驾 驶 执照 、 
学 历 或 者 护照 ) 是 否 有 效 ， 声 称 从 东 人 那里 来 的 文件 是 否 确实 从 那个 人 
那里 来 的 ， 这些 事 情 都 是 通过 鉴别 、 完 整 性 和 抗 抵赖 来 实现 的 。 





1.1.4 SAME EH 


密码 算法 (cryptographic algorithm) 也 叫做 密码 (cipher) ， 是 用 
于 加 密 和 解密 的 数学 函数 (通常 情况 下 ， 有 两 个 相关 的 函数 : 一 个 用 作 
加 密 ， 另 一 个 用 作 解 密 ) 





如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 ， 这 种 算法 称 为 受 限制 的 
(restricted) 算法 。 受 限制 的 算法 共有 历史 意义 ， 但 按 现在 的 标准 ， 它 
们 的 保密 性 已 远 远 不 够 。 大 的 或 经 常 变 换 的 用 户 组 织 不 能 使 用 它们 ， 因 
为 如 果 有 一 个 用 户 离 开 这 个 组 织 ， 其 他 的 用 户 就 必须 改换 妨 外 不 同 的 算 
法 。 如 果 有 人 无 意 泄露 了 这 个 秘密 ， 所 有 人 都 必须 改变 他 们 的 算法 。 








更 糟 的 是 ， 受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 每 个 
用 户 组 织 必须 有 他 们 自己 的 唯一 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 人 硬 
件 或 软件 产品 ， 因 为 锣 听 者 可 以 买 到 这 些 流行 产品 并 学 习 算 法 ， 于 是 用 
户 不 得 不 上 自己 编写 算法 并 予以 实现 ， 如 果 这 个 组 织 中 没有 好 的 密码 学 
， 那 么 他 们 就 无 法 知道 他 们 是 否 拥有 安全 的 算法 。 








尽管 有 这 些 主要 缺陷 ， 但 受 限制 的 算法 对 低 密级 的 应 用 来 说 还 是 很 
流行 的 ， 用 户 或 者 没有 认识 到 或 者 不 在 乎 他 们 系统 中 存在 的 问题 。 


现代 密码 学 用 符 钥 key) 解决 了 这 个 问题 ， 密 钥 用 K 表 示 。K 可 以 
是 很 多 数值 里 的 任意 值 。 密 钥 K 的 可 能 取 值 范围 叫做 密 钥 空 间 
(keyspace) 。 加 密 和 解密 运算 都 使 用 这 个 密 钥 〈 即 运算 都 依赖 于 密 
钥 ， 并 用 K 作 为 下 标 表 示 ) ， 这 样 ， 加 / 解密 函数 现在 变 成 








Kx (M) =C 


De (C) =M 





这 些 函 数 具 有 下 面 的 特性 〈 见 图 1-2) : 


Dy (Ex (M) ) =M 


密 钥 密 钥 
日 BK iho i 
明文 me 密 文 解密 原始 明文 


图 1-2 ”使 用 一 个 密 钥 的 加 / 解密 


有 些 算 法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 〈 见 图 1-3) ， 也 就 是 
说 ， 加 密 密 钥 Ki 与 相应 的 解密 密 钥 K, 不 同 ， 在 这 种 情况 下 : 


Ex (M) =. 
Dx, (Ex, (M)) = M 


所 有 这 些 算法 的 安全 性 都 基于 密 钥 的 安全 性 ， 而 不 是 基于 算法 细节 
的 安全 性 。 这 束 意 味 着 算法 可 以 公开 ， 可 以 被 分 析 。 可 以 大 量 生 产 使 用 
算法 的 产品 。 即 使 偷 昕 者 知道 你 的 算法 也 没有 关系 。 如 果 他 不 知道 你 使 
用 的 具体 密 钥 ， 他 就 不 可 能 阅读 你 的 消息 。 


日 a iAH 
朋 文 me 密 文 原始 明文 
图 1-3 ”使 用 两 个 密 钥 的 加 密 / 解密 


AIRA (cryptosystem〉 由 算法 以 及 所 有 可 能 的 明文 、 密 文 和 密 
钥 组 成 。 


1.1.5 ”对称 算法 


基于 密 钥 的 算法 通常 有 两 类 : 对 称 算法 和 公开 密 钥 算法 。 对 称 算法 
(symmetric algorithm) 有 时 又 叫做 传统 密码 算法 ， 就 是 加 密 密 钥 能 够 
从 解密 密 钥 中 推算 出 来 ， 反 过 来 也 成 立 。 在 大 多 数 对 称 算法 中 ， 加 密 / 
解密 密 钥 是 相同 的 。 这 些 算法 也 叫做 秘密 密 钥 算法 或 单 密 钥 算法 ， 它 要 
求 发 送 者 和 接收 者 在 安全 通信 之 前 ， 商 定 一 个 密 钥 。 对 称 算法 的 安全 性 
依赖 于 密 钥 ， 泄 露 密 钥 就 意味 着 任何 人 都 能 对 消 妃 进行 加 / 解密 。 只 要 


通信 需要 保密 ， 密 钥 就 必须 保密 。 














对 称 算法 的 加 密 和 解密 表示 为 : 
Ex (M) =C 


De (C) =M 





对 称 算 法 可 分 为 两 类 。 一 次 只 对 明文 中 的 单个 位 《有 时 对 字 节 ) iz 
算 的 算法 称 为 序列 算法 (stream algorithm) 或 序列 密码 (stream 
cipher) 。 另 一 类 算法 是 对 明文 的 一 组 位 进行 运算 ， 这 些 位 组 称 为 分 组 
(block) ， 相 应 的 算法 称 为 分 组 算法 (block algorithm) 或 分 组 密码 
(biock cipher) 。 现 代 计 算 机 密码 算法 的 典型 分 组 长 度 为 64 位 
长 度 大 到 足以 防止 分 析 破译 ， 但 又 小 到 足以 方便 使 用 《在 计算 机 出 现 
前 ， 算 法 普遍 地 每 次 只 对 明文 的 一 个 字符 运算 ， 可 以 认为 序列 密码 是 对 
字符 序列 的 运算 ) 。 





这 个 





1.1.6 ”公开 密 钥 算法 


公开 密 钥 算法 (public-key algorithm， 也 叫做 非 对 称 算法 ) 是 这 样 
设计 的 : 用 作 加 密 的 密 钥 不 同 于 用 作 解 密 的 密 钥 ， 而 且 解 密 密 钥 不 能 根 
据 加 密 密 钥 计算 出 来 (至 少 在 合理 假定 的 长 时 间 内 〉。 之 所 以 叫做 “ 公 
开 密 钥 ” 算 法 ， 是 因为 加 密 密 钥 能 够 公开 ， 即 陌生 者 能 用 加 密 密 钥 加 密 
信息 ， 但 只 有 用 相应 的 解密 密 钥 才 能 解密 信息 。 在 这 些 系 统 中 ， 加 密 密 
钥 叫 做 公开 密 钥 〈public-key， 简 称 公 钥 ) ， 解 密 密 钥 叫 做 私人 密 铀 
(private key， 简 称 私 钥 ) 。 私 人 密 钥 有 时 也 叫 秘密 密 钥 。 为 了 避免 与 
对 称 算法 混淆 ， 此 处 不 用 秘密 密 钥 这 个 名 字 。 


用 公开 密 钥 K 加 密 可 表示 为 


Ex (M) =C 


虽然 公开 密 钥 和 私人 密 钥 不 同 ， 但 用 相应 的 私人 密 钥 解密 可 表示 


De (C) =M 


有 时 消息 用 私人 密 钥 加 密 而 用 公开 密 钥 解密 ， 这 用 于 数字 签名 ( 参 
见 2.6 节 ) 。 尺 管 可 能 产生 混淆 ， 但 这 些 运算 可 分 别 表 示 为 : 








Ex (M) =C 


De (C) =M 


1.1.7 ”密码 分 析 








密码 编码 学 的 主要 目的 是 保持 明文 〈 或 密 钥 ， 或 明文 和 密 钥 ) 的 秘 
密 以 防止 偷 昕 者 (也 叫 对 手 、 攻 击 者 、 截 取 者 、 入 侵 者 、 敌 手 或 干脆 称 
FILA) 知晓 。 这 里 假设 偷 听 者 完全 能 够 截获 发 送 者 和 接收 者 之 间 的 通 





在 不 知道 密 钥 的 情况 下 ， 恢 复明 文 的 科学 。 成 功 的 密 
恢复 消息 的 明文 或 密 钥 。 蜜 码 分 析 也 可 以 发 现 密码 体制 的 弱 
点 ， 最 终 得 到 上 述 结果 《〈 密 钥 通 过 非 密码 分 析 方 式 的 丢失 叫做 泄露 


ER 
ire 
sy 
=a 
a tk 
ct FD 


(compromise) ) 。 


对 密码 进行 分 析 的 尝试 称 为 攻击 〈attack) 。 和 荷兰 人 A.Kerckhoffs 最 
早 在 19 世 纪 益 明 密码 分 析 的 一 个 基本 假设 ， 这 个 假设 就 是 秘密 必须 全 寅 
于 密 钥 中 。Kerckhoffs 假 设 密码 分 析 者 已 有 密码 算法 及 其 实现 的 全 部 详 
细 资 料 〈 当 然 ， 可 以 假设 中 央 情 报 局 〈CIA) 不 会 把 密码 算法 告诉 摩 萨 
德 (Mossad) (Mossad 是 以 色 列 情报 组 织 。 一 一 译 者 注 ) ， 但 摩 萨 德 
也 许 会 通过 某 种 方法 推导 出 来 ) 。 在 实际 的 密码 分 析 中 并 不 总 是 有 这 些 
详细 信息 ， 不 过 应 该 如 此 假设 。 如 果 不 能 破译 算法 ， 即 便 了 解 算法 如 何 
工作 也 是 徒然 的 。 如 果 连 算法 的 知识 都 没有 ， 就 肯定 不 可 能 破译 它 。 








常用 的 密码 分 析 攻 击 有 四 类 ， 当 然 ， 每 一 类 都 假设 密码 分 析 者 知道 
所 用 的 加 密 算法 的 全 部 知识 : 


(1) 唯 密 文 攻击 (ciphertext-only attack) 。 和 密码 分 析 者 有 一 些 消 
息 的 密 文 ， 这 些 消 息 都 用 相同 加 密 算法 加 密 。 密 码 分 析 者 的 任务 是 恢复 
尽 可 能 多 的 明文 ， 或 者 最 好 能 推算 出 加 密 消 息 的 密 钥 ， 以 便 可 采用 相同 
的 密 钥 破解 其 他 被 加 密 的 消息 。 





Eee Ee CP)» Co Epe CPs) s 2 CB CPD 


推导 出 : Pi» Pos ..., Pj; K 或 者 找 出 一 个 算法 从 Ci,1 =Ex (Pis 
) HETH Pi 。 


(2) 己 知 明文 攻击 (known-plaintext attack) 。 密 码 分 析 者 不 仅 可 








得 到 一 些 消 息 的 密 文 ， 而 且 也 知道 这 些 消息 的 明文 。 分 析 者 的 任务 束 是 
用 加 密 信息 推出 用 来 加 密 的 密 钥 或 导出 一 个 算法 ， 此 算法 可 以 对 用 相同 
密 钥 加 密 的 任何 新 消息 进行 解密 


Uy o 





CAI: P,, C,=E, (P1) > Ps, Co=E, (Pa) ，.…，Pi ，Ci =El 
(P. ) 


推导 出 : BREAK, 或 从 Ci =Ex 0P 推导 出 Pi 的 算法 。 


(3) 选择 明文 攻击 (chosen-plaintext attack) 。 分 析 者 不 仅 可 得 到 
一 些 消息 的 密 文 和 相应 的 明文 ， 而 且 他 们 也 可 选择 被 加 密 的 明文 。 这 比 
已 知 明文 攻击 更 有 效 ， 因 为 密码 分 析 者 能 选择 特定 的 明文 块 进 行 加 密 ， 


那些 块 可 能 产生 更 多 关于 密 钥 的 信息 。 分 析 者 的 任务 是 推出 用 来 加 密 消 
恩 的 密 钥 或 导出 一 个 算法 ， 此 算法 可 以 对 用 相同 密 钥 加 密 的 任何 新 消 


A 
进行 解密 。 
CAI: Pj» C,=E, (P,) >, Py, Co=E, (PL) ,..., Pio GC;=Er 
(P; ) ， 其 中 P; Po, ..., P, 可 由 密码 分 析 者 选择 。 
推导 出 : FAK, ERMC, =E, Pi) 推导 出 Pii 的 算法 。 


(4) 自 适 应 选择 明文 攻击 (adaptive-chosen-plaintext attack) 。 这 
是 选择 明文 攻击 的 特殊 情况 。 密 码 分 析 者 不 仅 能 选择 被 加 密 的 明文 ， 而 


且 也 能 基于 以 前 加 密 的 结果 修正 这 个 选择 。 在 选择 明文 攻击 中 ， 密 码 分 
析 者 还 可 以 选择 一 大 块 被 加 密 的 明文 。 而 在 自 适 应 选择 密 文 攻击 中 ， 可 
选取 较 小 的 明文 块 ， 然 后 再 基于 第 一 块 的 结果 选择 另 一 个 明文 堪 ， 以 此 
类 推 。 


RILA BL = FS AB AAS DT BE o 


(5) 选择 密 文 攻击 Cchosen-ciphertext attack) 。 密 码 分 析 者 能 
择 不 同 的 被 加 密 的 密 文 ， 并 可 得 到 对 应 的 解密 的 明文 。 例 如 ， 密 码 分 析 
者 访问 一 个 防 窜改 的 自动 解密 盒 ， 密 码 分 析 者 的 任务 是 推出 密 钥 。 





CA: Ci» Py =D, (C1) > Cy, P, =D, (C3) > ..., Cjo P, =D, 
CC; ) 


1 


推导 出 : Ko 


这 种 攻击 主要 用 于 公开 密 钥 算法 ， 这 将 在 19.3 节 中 讨论 。 选 择 密 文 
攻击 有 时 也 可 有 效 地 用 于 对 称 算 法 〈 有 时 选择 明文 攻击 和 选择 密 文 攻击 
一 起 称 为 选择 文本 攻击 (chosen-text attack) ) 。 


(6) 选择 密 钥 攻击 (chosen-key attack) 。 这 种 攻击 并 不 表示 密码 
分 析 者 能 够 选择 密 钥 ， 它 只 表示 密码 分 析 者 具有 不 同 密 钥 之 间 关 系 的 有 
关 知 识 。 这 种 方法 有 点 奇特 和 隐 涩 ， 不 是 很 实际 ， 将 在 12.4 节 讨论 。 








(7) 软 磨 硬 泡 攻击 (rubber-hose cryptanalysis) 。 密 码 分 析 者 威 


胁 、 勒 索 ， 或 者 折磨 某 人 ， 直 到 他 给 出 密 钥 为 止 。 行 贿 有 时 称 为 购买 窒 
钥 攻 击 (purchase-key attack) 。 这 些 是 非常 有 效 的 攻击 ， 并 且 经 常 是 
破译 算法 的 最 好 途径 。 





已 知 明文 攻击 和 选择 明文 攻击 比 你 想象 的 更 常见 。 密 码 分 析 者 得 到 
加 密 的 明文 消息 或 贿赂 某 人 去 加 密 所 选择 的 消息 ， 这 种 事情 时 有 所 闻 。 
如 果 你 给 某 大 使 一 则 消息 ， 你 可 能 会 发 现 该 消息 已 被 加 密 ， 并 被 送 回 他 
的 国家 去 研究 。 密 码 分 析 者 也 许 知道 ， 许 多 消息 有 标准 的 开头 和 结尾 
加 密 的 源码 特别 脆弱 ， 这 是 因为 有 规律 地 出 现 关 键 字 ， 如 #define、 
struct、else、retum 等 。 被 加 密 的 可 执行 代码 也 有 同样 问题 ， 如 调用 函 
数 、 循 环 结构 等 。 已 知 明文 攻击 〈 甚 至 选择 明文 攻击 ) 在 第 二 次 世界 大 
战 中 已 成 功 地 用 来 破译 德国 和 日 本 的 密码 。David Kahn 的 书 £794. 795. 
796] 中 有 此 类 攻击 的 历史 例子 。 














不 要 筷 记 Kerckhoffs 假 设 : 如 果 新 密码 系统 的 强度 依赖 于 攻击 者 不 
知道 算法 的 内 部 机 理 ， 那 你 注定 会 失败 。 如 果 你 相信 保持 算法 的 内 部 秘 
密 比 让 研究 团体 公开 分 析 它 更 能 改进 密码 系统 的 安全 性 ， 那 你 就 错 了 。 
如 果 你 认为 别人 不 能 反 汇 编 你 的 代码 和 逆向 设计 你 的 算法 ， 那 你 就 太 天 
真 了 《1994 年 RC4 算 法 就 发 生 了 这 种 情况 一 一 参见 17.1 节 ) 。 最 好 的 算 
法 是 那些 已 经 公开 的 ， 并 经 过 世界 上 最 好 的 密码 分 析 家 多 年 的 攻击 ， 但 
还 是 不 能 破译 的 算法 《国家 安全 局 对 外 保持 他 们 算法 的 秘密 ， 但 他 们 有 
世界 上 最 好 的 密码 分 析 家 在 内 部 工作 ， 你 却 没有 。 另 外 ， 他 们 互相 讨论 








算法 ， 通 过 同行 审查 以 发 现 工 作 中 的 弱点 ) 。 





密码 分 析 者 也 并 不 是 总 能 知道 算法 。 例 如 ， 在 第 二 次 世界 大 战 中 美 
国人 破译 日 本 人 的 外 区 密码 一 一 紫 密 (PURPLE) 就 是 一 个 例子 ， 而 且 
美国 人 一 直 在 做 这 种 事 。 如 果 算 法 用 于 商业 安全 程序 中 ， 那 么 分 析 这 个 
程序 ， 把 算法 恢复 出 来 只 是 时 间 和 人 金钱 问题 ， 如 果 算 法 用 于 军队 的 通信 
系统 中 ， 那 么 购买 (或 鳃 取 )〉 这 种 设备 ， 进 行 逆向 工程 恢复 算法 也 只 是 
简单 的 时 间 和 金钱 问题 。 














那些 因为 目 己 不 能 破译 茶 个 算法 就 草率 地 声称 有 一 个 不 可 破译 的 密 
码 的 人 要 么 是 天 才 ， 要 么 是 深重。 不 羊 的 是 ， 后 者 居多 。 和 二 万 要 提防 那 
些 一 味 吹 星 算 法 的 优点 ， 但 又 拒绝 公开 的 人 ， 相 信和 他 们 的 算法 就 像 相 信 
骗 人 的 包 医 百 病 的 灵 片 妙药 一 样 。 








好 的 密码 分 析 家 总 会 坚持 同行 审查 ， 试 图 把 不 好 的 算法 从 好 的 算法 
中 剔除 出 去 。 


11.8 算法 的 安全 性 








根据 和 被 破译 的 难 易 程度 ， 不 同 的 密码 算法 具有 不 同 的 安全 等 级 。 如 
果 破 译 算法 的 代价 大 于 加 密 数 据 的 价值 ， 那 么 你 可 能 是 安全 的 。 如 果 破 
译 算 法 所 需 的 时 间 比 加 密 数 据 保密 的 时 间 更 长 ， 那 么 你 可 能 是 安全 的 。 
如 果 用 单 密 钥 加 密 的 数据 量 比 破译 算法 需要 的 数据 量 少 得 多 ， 那 么 你 可 


能 是 安全 的 。 


我 说 “可 能 ”因为 在 密码 分 析 中 总 有 新 的 突破 。 男 一 方面 ， 随 着 时 
间 的 推移 ， 大 多 数 数 据 的 价值 会 越 来 越 小 。 而 数据 的 价值 总 是 比 解除 保 
护 它 的 安全 性 的 代价 更 小 ， 这 点 是 很 重要 的 。 


Lars Knudsen 把 破译 算法 分 为 不 同 的 类 别 ， 安 全 性 的 递减 顺序 为 : 


(1) 全 部 破译 (total break) 。 和 密码 分 析 者 找 出 密 钥 RK， 这 样 Dk 
(C) =P. 


(2) 全 盘 推导 (global deduction) 。 密 码 分 析 者 找到 一 个 代替 算 
法 A， 在 不 知道 密 钥 K 的 情况 下 ， 等 价 于 DK (C) =P. 


(3) 实例 (或 局 部 ) 推导 Cinstance (orlocal) deduction) . 264 
分 析 者 从 截获 的 密 文 中 找 出 明文 。 


(4) 信息 推导 Cinformation deduction) 。 密 码 分 析 者 获得 一 些 有 
天 密 钥 或 明文 的 信息 。 这 些 信息 可 能 是 密 钥 的 几 位 、 有 关 明 文 格式 的 信 


息 等 。 





如 果 不 论 密码 分 析 者 有 多 少 密 文 ， 部 没有 足够 的 信息 恢复 出 明文 ， 
那么 这 个 算法 就 是 无 条 件 保密 的 〈unconditionally secure) 。 事 实 上 ， 
只 有 一 次 一 密 乱 码 本 《参见 1.5 节 ) ， 才 是 不 可 破 的 《给 出 无 限 多 的 资 
源 仍然 不 可 破 ) 。 所 有 其 他 的 密码 系统 在 唯 密 文 攻击 中 都 是 可 破 的 ， 只 





要 简单 地 一 个 接 一 个 地 去 尝试 每 种 可 能 的 密 钥 ， 并 且 检 查 所 得 明文 是 否 
意义 ， 这 种 方法 叫做 军力 攻击 (brute-force attack， 见 7.1 节 ) o 


密码 学 更 关心 在 计算 上 不 可 破译 的 密码 系统 。 如 果 算 法 用 (现在 或 
将 来 ) 可 得 到 的 资源 都 不 能 破译 ， 这 个 算法 则 被 认为 是 计算 安全 的 
(computationally secure， 有 时 称 做 强 的 ) 。 谁 确 地 说 ,“ 可 用 资源 ? 束 是 
公开 数据 的 分 析 整 理 。 





可 以 用 不 同方 式 衡 量 攻 击 方 法 的 复杂 性 (参见 11.1 市 〉: 


(1) 数据 复杂 性 (data complexity) 。 用 于 攻击 输入 所 需要 的 数据 





(2) 处 理 复杂 性 (processing complexity) 。 完 成 攻击 所 需要 的 时 





间 ， 也 经 常 称 做 工作 因素 (work factor) 。 
(3) 存储 需求 (storage requirement) 。 进 行 攻击 所 需要 的 存储 
量 。 


作为 一 个 法 则 ， 攻 击 的 复杂 性 取 这 三 个 因数 的 最 小 值 。 有 些 攻击 包 
括 这 三 种 复杂 性 的 折 中 : 存储 需求 越 大 ， 攻 击 可 能 越 快 。 


复杂 性 用 数量 级 来 表示 。 如 果 算 法 的 处 理 复杂 性 是 228 ， 那 么 破译 
这 个 算法 也 需要 2128 次 运算 〈 这 些 运算 可 能 非常 复杂 和 耗 时 ) 。 假 设 你 
有 足够 的 计算 速度 去 完成 每 秒 钟 100 万 次 和 运算， 并且 用 100 万 个 并 行 处 理 








器 完成 这 个 任务 ， 那 么 仍 需 花 费 107 年 以 上 才能 找 出 密 钥 ， 那 是 宇宙 年 
龄 的 10 亿 倍 。 


当 攻 击 的 复杂 性 是 常数 时 《除非 一 些 密 人 码 分 析 者 发 现 更 好 的 密码 分 
析 攻 击 ) ， 就 只 取决 于 计算 能 力 了 。 在 过 去 的 半 个 世纪 中 ， 计 算 能 力 已 
得 到 显著 提高 ， 并 且 没 有 理由 认为 这 种 趋势 不 会 继续 。 许 多 密码 分 析 攻 
击 用 并 行 处 理 机 进行 计算 非常 理想 : 这 个 任务 可 分 成 亿 万 个 子 任务 ， 且 
处 理 之 间 不 需要 相互 作用 。 一 种 算法 在 现 有 技术 条 件 下 不 可 破译 就 简单 
地 宣称 是 安全 的 ， 未 免 有 些 冒 险 。 好 的 密码 系统 应 设计 成 能 抵御 未 来 许 
多 年 后 计算 能 力 的 发 展 。 














11.9 过 去 的 术语 


历史 上 ， 将 处 理 语言 单元 〈 字 、 短 语 、 句 子 等 ) 的 密码 系统 称 为 密 
本 (code) 。 例 如 ， 单 词 OCELOT 可 能 是 整个 短语 TURN LEFT 90 
DEGREES 的 密 文 ， 单 词 LOLLIPOP 可 能 是 TURN RIGHT 90 DEGREES 
的 密 文 ， 而 单词 BENT EAR 可 能 是 HOWITZER 的 密 文 。 这 种 类 型 的 密 本 
在 本 书 里 没有 讨论 ， 可 参见 文献 [794, 79] 。 密 本 在 特殊 环境 中 才 有 
用 ， 而 密码 在 任何 情况 下 都 有 用 。 如 果 密 本 中 没有 ANTEATERS 这 一 
和 条， 那么 你 就 不 能 提 及 它 。 但 你 可 以 用 密码 来 指 代 任何 东西 。 











12 隐 写 术 


KAEA (steganography) 征 将 秘密 消 妃 隐藏 在 其 他 消息 中 ， 这 样 真 
正 存在 的 秘密 被 隐藏 了 了 。 通 利 发 送 者 写 一 篇 无 伤 大 雅 的 消 轧 ， 然 后 在 同 
一 张 纸 中 隐藏 秘密 消息 。 历 史上 的 隐 写 方式 有 隐形 墨水 ， 用 针 在 选择 的 
字符 上 刺 极 小 的 针眼 ， 在 手写 的 字符 之 间 留 下 细微 送别， 在 打印 字符 上 
用 铅笔 做 记号 ， 用 格子 兰 住 大 部 分 字符 等 








最 近 ， 人 们 在 图 像 中 隐藏 秘密 消息 ， 用 图 像 每 字 节 的 最 不 重要 的 位 
代替 消息 位 。 图 像 并 没有 怎么 改变 (大 多 数 图 像 标 准 规定 的 颜色 等 级 比 
人 类 眼睛 能 够 觉察 到 的 多 得 多 ) 秘密 消息 却 能 够 在 接收 端 剥 离 出 来 。 用 
这 种 方法 可 在 1024x1024 灰 度 图 片 中 存储 64K 字 节 的 消息 。 能 实现 此 技 
术 的 公开 程序 已 有 好 几 种 。 








Peter Wayner 的 模拟 函数 (mimic function〉 也 能 使 消息 隐匿 。 这 类 
函数 能 修改 消息 ， 使 它 的 统计 模式 与 一 些 其 他 东西 相似 : 如 《纽约 时 
报 》 的 题 录 部 分 、 莎 士 比 亚 的 戏剧 、 因 特 网 上 的 新 闻 组 “1584、15851 
等 。 这 类 隐 写 术 昕 和 弄 不 了 普通 人 ， 但 却 可 以 轧 弄 那些 为 特定 的 消息 而 有 
目的 地 扫描 因特网 的 大 型 计算 机 。 


1.3” 代 丛 密 码 和 换 位 密码 








在 计算 机 出 现 前 ， 密 码 学 由 基于 字符 的 密码 算法 构成 。 不 同 的 密码 
算法 是 字符 之 间 互 相 代替 或 者 互相 换 位 ， 好 的 密码 算法 结合 这 两 种 方 
法 ， 每 次 








现在 事情 变 得 复杂 多 了 ， 但 原理 还 是 没 变 。 重 要 的 变化 是 算法 对 位 
而 不 是 对 字母 进行 变换 ， 实 际 上 这 只 是 字母 表 长 度 上 的 改变 ， 从 26 个 元 
素 变 为 2 个 元 素 。 大 多 数 好 的 密码 算法 仍然 是 代 丛 和 换 位 的 元 素 组 合 。 














1.3.1 代替 密码 





i 2804 (substitution cipher) 就 是 明文 中 每 一 个 字符 被 蔡 换 成 密 
文中 的 男 外 一 个 字符 。 接 收 者 对 密 文 进行 逆 亚 换 就 可 以 恢复 明文 。 


在 经 典 密码 学 中 ， 有 四 种 类 型 的 代 丛 密码 : 


(1) 简单 代替 密码 (simple substitution cipher) ， 或 单字 母 密码 
(monoalphabetic cipher) 。 就 是 明文 的 一 个 字符 用 相应 的 一 个 密 文 字符 
代 蔡 。 报 纸 中 的 密 报 就 是 简单 的 代 蔡 密码 。 


(2) 多 名 人 码 代 蔡 密 码 (homophonic substitution cipher) 。 它 与 简 
单 代 蔡 密 人 码 系统 相似 ， 唯 一 的 不 同 是 单个 字符 明文 可 以 映射 成 密 文 的 多 


个 字符 之 一 。 例 如 ，A 可 能 对 应 于 5、13、25 或 56，B 可 能 对 应 于 7、 


19、31 或 42 等 。 


(3) 多 字母 代 蔡 密码 (polygram substitution cipher) 。 字 符 块 被 
成 组 加 密 。 例 如 ，ABA 可 能 对 应 于 RIQ，ABB 可 能 对 应 于 SLL 等 。 


(4) 多 表 代 和 蔡 密 码 (polyalphabetic substitution cipher) 。 由 多 个 
简单 的 代 蔡 密码 构成 。 例 如 ， 可 能 使 用 5 个 不 同 的 简单 代 葵 密码 ， 单 独 
的 一 个 字符 用 来 改变 明文 每 个 字符 的 位 置 。 





著名 的 Caesar 密 码 就 是 一 种 简单 的 代替 密码 ， 它 的 每 一 个 明文 字符 
都 由 其 右边 第 三 个 字符 代替 CAD, BHERE, ..., WHZAK 
Bo XHANG, YABR, ZCI) 。 它 实际 上 非常 简单 ， 因 为 密 
文字 符 是 明文 字符 的 环 移 ， 并 且 不 是 任意 置换 。 











ROT13 是 建立 在 UNIX 系 统 上 的 简单 加 密 程 序 ， 它 也 是 简单 代 蔡 密 
码 。 在 这 种 密码 中 ，A 被 N 代 蔡 、B 被 0 代替 等 ， 每 一 个 字母 是 环 移 13 所 
对 应 的 字母 。 








用 ROT13 加 密 文 件 两 裔 便 可 恢复 原始 的 文件 : 
P=ROT13 (ROT13 (P) ) 


ROT13 并 非 为 保密 而 设计 的 ， 它 经 常用 在 Usenet 电 子 邮 件 中 隐藏 特 
定 的 内 容 ， 以 避免 泄露 一 个 难题 的 解答 等 。 








简单 代替 密码 很 容易 破译 ， 因 为 它 没有 把 明文 不 同 字 母 的 出 现 频率 
掩盖 起 来 。 在 好 的 密码 分 析 者 重 构 明 文 之 前 ， 所 有 的 密 文 都 由 25 个 英文 
字母 组 成 UBH ， 破 译 这 类 密码 的 算法 可 以 在 文献 [578、587、 
1600、78、1475、1236、880」 中 找到 。 好 的 计算 机 破译 算法 见 文 献 
[703] 。 











多 名 码 代 替 密 码 早 在 1401 年 由 Duchy Mantua 公 司 使 用 ， 这 些 密码 比 
简单 代替 密码 更 难 破 译 ， 但 仍 不 能 掩盖 明文 语言 的 所 有 统计 特性 。 用 已 
知 明文 攻击 破译 这 种 密码 非常 容易 。 唯 密 文 攻击 要 难 一 些 ， 但 在 计算 机 
上 只 需 几 秒 L710」 。 详 情 见 [126] 中 的 叙述 。 








多 字母 代替 密码 是 字母 成 组 加 密 。1854 年 发 明了 Playfair 密 码 ， 在 第 
一 次 世界 大 战 中 英国 人 就 采用 这 种 密码 上 “7944 。 它 对 成 对 字母 进行 加 
密 。 它 的 密码 分 析 在 【587、1475、880] 中 讨论 。Hil 密 码 是 多 字母 代 
替 密 码 的 另 一 个 例子 “7324 。 有 了 时 你 会 把 Huffman 编 码 用 作 和 密码 ， 这 是 
一 种 不 安全 的 多 字母 代替 密码 。 


多 表 代 蔡 密 码 由 Leon Battista 在 1568 年 发 明 (74) ， 在 美国 南北 战 
争 期 间 由 联军 使 用 。 尽 管 它们 容易 破译 L819% 977. 587, 79] (特别 是 在 
计算 机 的 帮助 下 ) ， 许 多 商用 计算 机 保密 产品 都 使 用 这 种 密码 形式 
[1387、1390、1502」 (怎么 破译 这 个 加 密 方案 的 细节 能 够 在 [135、139] 
中 找到 ， 这 个 方案 用 在 WordPerfect 中 ) 。 维 吉 尼 亚 (Vigenére) 密码 
(1586 年 首先 发 表 ) 和 博 福特 (Beaufort) BIG ES RNG BIS NB 








多 表 代 葵 密码 有 多 个 单字 母 密 钥 ， 每 一 个 密 钥 用 来 加 密 一 个 明文 字 
母 。 第 一 个 密 钥 加 密 明文 的 第 一 个 字母 ， 第 二 个 密 钥 加 密 明 文 的 第 二 个 
字母 等 。 在 所 有 的 密 钥 用 完 后 ， 密 钥 再 循环 使 用 ， 夺 有 20 个 单个 字母 密 
钥 ， 那 么 每 隔 20 个 字母 的 明文 都 被 同一 个 冤 钥 加 密 ， 这 叫做 密码 的 周 
期 。 在 经 典 密码 学 中 ， 密 码 周 期 越 长 越 难 破译 ， 使 用 计算 机 就 能 够 轻易 
破译 具有 很 长 周期 的 代 瞧 密码 。 








深 动 密 钥 密码 Crunning-key cipher， 有 时 叫做 书本 密码 ) 是 多 表 代 
蔡 密 码 的 男 一 个 例子 。 就 是 用 一 个 文本 去 加 和 密 男 一 个 文本 ， 即 使 这 种 密 
码 的 周期 与 文本 一 样 长 ， 它 也 很 容易 被 破译 [576、 794) 。 





1.3.2” 换 位 密码 


在 换 位 密码 中 ， 明 文 的 字母 保持 相同 ， 但 顺序 被 打 乱 了 。 在 简单 
的 纵 行 换 位 密码 中 ， 明 文 以 固定 的 宽度 水 平地 写 在 一 张 图 纸 上 ， 密 文 
BERAS h LRL- ， 解 密 就 是 将 密 文 按 相 同 的 宽度 垂 币 地 与 
在 图 纸 上 ， 然 后 水 平地 读 出 明文 。 








明文 : COMPUTER GRAPHICS MAY BE SLOW BUT ATLEASTIT’S EXPENSIVE. 
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图 1-4” 纵 行 换 位 密码 








对 这 些 密 码 的 分 析 在 [587、1475」 中 讨论 。 由 于 密 文 字符 与 明文 
字符 相同 ， 所 以 对 密 文 的 频数 分 析 将 揭示 每 个 字母 和 英语 有 相似 的 似 然 
值 。 这 给 了 密码 分 析 者 很 好 的 线索 ， 他 能 够 用 各 种 技术 决定 字母 的 准确 
顺序 ， 以 便 得 到 明文 。 密 文通 过 二 次 换 位 密码 极 大 地 增强 了 安全 性 。 甚 
至 有 更 强 的 换 位 密码 ， 但 计算 机 几乎 都 能 破译 。 





在 第 一 次 世界 大 战 中 ， 德 国人 所 用 的 ADFGVX 密 码 就 是 一 种 换 位 密 
人 码 与 简单 代替 密码 的 组 合 。 那 个 时 代 它 是 一 个 非常 复杂 的 算法 ， 但 被 法 
国 密码 分 析 家 George Painvin 破 解 "941 。 





虽然 许多 现代 密码 也 使 用 换 位 ， 但 由 于 它 对 存储 要 求 很 大 ， 有 时 还 
要 求 消息 为 某 个 特定 的 长 度 ， 所 以 比较 有 旷 烦 。 代 蔡 密 码 更 常用 得 多 。 





1.3.3” 转 轮机 


在 20 世 纪 20 年 代 ， 人 们 发 明了 各 种 机 械 加 密 设 备用 来 自动 处 理 加 


ER 


。 大 多 数 是 基于 转 轮 《rotor) 的 概念 ， 机 械 转 轮 用 线 连 起 来 完成 通 当 
的 密码 代 痊 。 


转 轮 机 Crotor machine) 有 一 个 键盘 和 一 系列 转 轮 ， 它 是 维 吉 尼 亚 
密码 的 一 种 实现 。 每 个 转 轮 是 字母 的 任意 组 合 ， 有 26 个 位 置 ， 并 且 完 成 
一 种 简单 代替 。 例 如 ， 一 个 转 轮 可 能 用 线 连 起 来 以 完成 用 F 代 蔡 A、 用 U 
代替 B、 用 工 代 蔡 C 等 ， 而 且 转 轮 的 输出 栓 连接 到 相 邻 的 输入 栓 。 


例如 ， 在 4 个 转 轮 的 密码 机 中 ， 第 一 个 转 轮 可 能 用 F 代 奉 A、 第 二 个 
转 轮 可 能 用 Y 代 蔡 F、 第 三 个 转 轮 可 能 用 E 代 蔡 Y、 第 四 个 转 轮 可 能 用 C 
代替 丰 ，C 应 该 是 输出 密 文 。 当 转 轮 移动 后 ， 下 一 次 代 蔡 将 不 同 。 


为 使 机 器 更 安全 ， 可 把 多 种 转 轮 和 移动 的 齿轮 结合 起 来 。 因 为 所 有 
转 轮 以 不 同 的 速度 移动 ， 所 以 n 个 转 轮 机 器 的 周期 是 262 。 为 进一步 阻止 
密码 分 析 ， 有 些 转 轮机 在 每 个 转 轮 上 还 有 不 同 的 位 置 写 。 











最 著名 的 转 轮 装置 是 恩 尼 格 马 (Enigma) ， 它 在 第 二 次 世界 大 战 期 
间 由 德国 人 使 用 。 其 基本 原理 由 欧洲 的 Arthur Scherbius 和 Arvid Gerhard 
Damm 发 明 ，Arthur Scherbius 在 美国 申请 了 专利 “1383」 。 德 国人 为 了 战 
时 使 用 ， 大 大 地 加 强 了 其 基本 设计 。 


德国 人 使 用 的 恩 尼 格 马 有 3 个 转 轮 ， 从 5 个 转 轮 中 选择 。 转 轮机 中 有 
一 块 稍微 改变 明文 序列 的 插 板 ， 有 一 个 反射 轮 导 致 每 个 转 轮 对 每 一 个 明 
文字 母 操 作 两 次 。 像 恩 尼 格 马 那样 复杂 的 密码 ， 在 第 二 次 世界 大 战 期 间 











都 被 破译 了 。 波 兰 密码 小 组 最 早 破译 了 德国 的 恩 尼 格 马 ， 并 告诉 了 英国 
人 。 人 德国 人 在 战争 进行 过 程 中 修改 了 他 们 的 密码 ， 英 国人 继续 对 新 的 方 
案 进 行 分 析 ， 他 们 是 如 何 破译 的 参见 [794、86、448、498、446、 
880、1315、1587、690] 。 有 关 怎 么 破译 恩 尼 格 马 的 两 个 传奇 报道 在 
[735, 796] PALA. 





13.4 ”进一步 的 读物 





这 不 是 一 本 有 关 经 典 密 码 学 的 书 ， 因 此 不 多 讨论 这 些 问题 。 计 算 机 
出 现 前 有 两 本 优秀 的 密码 学 著作 是 [587、1475] ; 文献 [448] 提出 了 
一 些 密码 机 的 现代 密码 分 析 方 法 ，Dorothy Denning 在 文献 [456] Fit 
论 了 许多 密码 ;而 文献 [880] 对 这 些 密码 做 了 很 多 复杂 的 数学 分 析 ; 
另 一 本 更 早 讨论 模拟 密码 的 著作 见 文献 L99」; 文献 L579] 对 这 个 学 
科 做 了 很 好 的 回顾 David Kahn 的 历史 性 密码 学 论著 [794、795、 

796] 也 是 非常 优秀 的 。 








1.4 简单 异 或 





FE XOR) 在 C 语 言 中 是 “ 心 运算 ， 或 者 用 数学 符号 @ 表 示 。 它 
是 对 位 的 标准 运算 : 


0 60=0 
061=1 
1@0=1 
1@1=0 
也 要 注意 : 
a®a=0 
a®b@b=a 


简单 异 或 算法 实际 上 并 不 复杂 ， 因 为 它 并 不 比 维 吉 尼 亚 密码 复杂 。 
本 书 讨论 它 ， 因 为 它 在 商业 软件 包 中 很 流行 ， 至 少 在 MS-DOS 和 
Macintosh 世 界 中 是 这 样 [1502、1387」 。 不 幸 的 是 ， 如 果 一 个 软件 保密 程 
序 宣 称 它 有 一 个 “ 专 有 ”加 密 算法 〈 该 算法 比 DES 更 快 ) ， 其 优势 在 于 是 
下 述 算法 的 一 个 变种 。 


/* Usage: crypto key :input _ file output_file */ 
void main (int argc, char *argv[]) 


{ 


FILE *£i, *fo; 


chan Wops 

ine e7 

if ((cp = argv[1]) && *cp!='\0') { 

if ((fi = fopen(argv[2], "rb")) != NULL) { 
if ((fo = fopen(argv[3], "wb")) != NULL) { 
while ((c = getc(fi)) != EOF) { 

LE (!*ep) ep = argy Ail; 
c ^= *(cp++) ; 


Eee Eo): + 


} 


fclose(fo); 


} 


fclose (fi); 





IE PT BR GI. SC PR BEF HET PBI EA PE 
因为 用 相同 值 异 或 两 次 就 恢复 原来 的 值 ， 所 以 加 密 和 解密 都 严格 采用 同 
一 个 程序 。 


P®K=C 


C ® K=P 





这 种 方法 没有 实际 的 保密 性 ， 它 易于 破译 ， 甚 至 没有 计算 机 也 能 破 
Pe [58” 145] 。 如 果 用 计算 机 ， 则 只 需 花费 几 秒 的 时 间 就 可 破译 。 


假设 明文 是 英文 ， 并 且 假 设 密 钥 长 度 是 一 个 任意 小 的 字 市 数 。 下 面 


是 它 的 破译 方法 : 


(1) 用 重合 码 计 数 法 (counting coincidence) 找 出 密 钥 长 度 [577] 
。 用 密 文 寞 或 相对 其 本 吴 的 各 种 字 节 的 位 移 ， 统 计 那 些 相等 的 字 节 数 。 
如 果 位 移 是 密 钥 长 度 的 倍数 ， 那 么 超过 6% 的 字 节 将 是 相等 的 ， 如 果 不 
是 ， 则 至 多 只 有 0.4% 的 字 节 是 相等 的 (这 里 假设 用 随机 密 钥 来 加 密 标 
准 ASCIH 文 本 ， 其 他 类 型 的 明文 将 有 不 同 的 数值 ) ， 这 叫做 重合 指数 
(index of coincidence) 。 指 出 的 密 钥 长 度 倍数 的 最 小 位 移 藉 是 密 钥 的 
长 度 。 

















(2) 按 此 长 度 移 动 密 文 ， 并 且 与 自 壬 进行 寞 或 。 这 样 束 消除 了 密 
钥 ， 留 下 明文 和 移动 了 密 钥 长 度 的 明文 的 异 或 。 由 于 英语 每 字 节 有 1.3 
位 的 实际 信息 《参见 11.1) ， 所 以 有 足够 的 见 余 度 确定 唯一 的 解 冤 。 


尽管 如 此 ， 一 些 软件 销售 商 在 兜售 这 种 游戏 了 式 算 法 时 ， 还 声称 “ 几 
平和 DES 一 样 保密 ”， 这 使 人 感到 震惊 “1387」 。NSA 最 终 允 许 美国 的 数 
字 蜂 负电 话 产 业界 使 用 这 个 算法 (有 160 位 的 重复 “ 密 钥 ”) 对 语音 保 
密 。 寞 或 或 许 能 防止 你 的 小 妹妹 偷 看 你 的 文件 ， 但 却 不 能 防止 密码 分 析 
家 在 儿 分 钟 内 破译 它 。 


1.5 一 次 一 密 乱 码 本 


不 管 你 是 否 相信 和 它 ， 有 一 种 理想 的 加 密 方案 ， 叫 做 一 次 一 密 乱 码 本 
(one-time pad) ， 由 Major Joseph Mauborgne 和 AT&T 公 司 的 Gilbert 
Vernam 在 1917 年 发 明 V% (实际 上 ， 一 次 一 密 乱码 本 是 门限 方案 的 
特殊 情况 ， 参 见 3.7 节 ) 。 一 般 来 说 ， 一 次 一 密 乱 码 本 不 外 乎 是 一 个 大 
的 不 重复 的 真 随机 密 钥 字母 集 ， 这 个 密 钥 字母 集 被 写 在 数 张 纸 上 ， 并 被 
粘 成 一 个 乱码 本 。 它 最 初 的 形式 是 用 于 电 传 打字 机 。 发 送 者 用 乱码 本 中 
的 每 一 个 密 钥 字母 准确 地 加 密 一 个 明文 字符 。 加 密 是 明文 字符 和 一 次 一 
密 乱码 本 密 钥 字符 的 模 26 加 法 。 





每 个 密 钥 仅 对 一 个 消息 使 用 一 次 。 发 送 者 对 所 发 送 的 消息 加 密 ， 然 
后 销毁 乱码 本 中 用 过 的 一 页 或 磁 囊 部分。 接收 者 有 一 个 相同 的 乱码 本 ， 
并 依次 使 用 乱码 本 上 的 每 个 密 钥 去 解密 密 文 的 每 个 字符 。 接 收 者 在 解密 
消息 后 销毁 乱码 本 中 用 过 的 一 页 或 磁带 部 分 。 新 的 消 妃 则 用 乱码 本 中 新 
的 密 钥 加 密 。 例 如 ， 如 果 消 乱 是 


ONETIMEPAD 


而 取 自 乱码 本 的 密 钥 序列 是 : 


TBFRGFARFM 


那么 密 文 就 是 : 


IPKLPSFHGQ 


因为 


O+T mod26=I 


N+B mod26=P 


E+F mod26=K 








OR Ba Vt AS He Fe BA ORE SE KR LEGA, AST SR 
征 完全 保密 的 。 给 出 的 密 文 消息 相当 于 同样 长 度 的 任何 可 能 的 明文 消 
息 


[e] 


由 于 每 一 个 密 钥 序列 都 是 等 概率 的 〈 记 住 ， 密 钥 是 以 随机 方式 产生 
的 ) ， 所 以 收 方 没有 任何 信息 用 来 对 密 文 进行 密码 分 析 ， 窗 钥 序列 也 可 








ab HE 
HE AE: 


POYYAEAAZX 


解密 出 来 是 : 


SALMONEGGS 

或 密 钥 序 列 为 : 
BXFGBMTMXM 
解密 出 来 的 明文 为 ; 
GREENFLUID 


值得 重申 的 是 :由 于 明文 消息 是 等 概率 的 ， 所 以 密码 分 析 者 没有 办 
法 确定 哪个 明文 消息 是 正确 的 。 随 机 密 钥 序列 异 或 非 随 机 明文 消 妃 产生 
完全 随机 的 密 文 消 轧 ， 再 大 的 计算 能 力也 无 能 为 力 。 








值得 注意 的 是 ， 密 钥 字 母 必 须 是 随机 产生 的 。 对 这 种 方案 的 攻击 实 
际 上 依赖 于 产生 密 钥 序列 的 方法 。 不 要 使 用 伪 随 机 数 发 生 右 ， 因 为 它们 
通常 具有 非 随机 性 。 如 果 采 用 真 随机 源 〈 这 比 第 一 次 出 现 难 得 多 ， 参 见 


17.14 节 ) ， 它 就 是 安全 的 。 








为 一 个 重要 的 事情 是 密 钥 序列 不 能 重复 使 用 ， 即 使 你 用 多 兆 字 节 的 
乱码 本 ， 如 果 蜜 码 分 析 家 有 多 个 密 钥 重 登 的 密 文 ， 他 也 能 重 构 明 文 。 他 
把 每 排 密 文 移 来 移 去 ， 并 计算 每 个 位 置 匹 配 的 数量 。 如 果 和 它们 排列 正 
确 ， 则 匹配 的 比例 会 突然 升 高 “准确 的 百分比 与 明文 的 语种 有 关 ) 。 从 
这 一 点 来 说， 密码 分 析 很 容易 ， 它 类 似 于 重合 指数 法 ， 只 不 过 用 两 








个 “周期 进行 比较 “904」 。 所 以 ， 千 万 别 重复 使 用 密 钥 序列 。 





一 次 一 密 乱 码 本 的 想法 很 容易 推广 到 二 进 制 数 据 的 加 密 ， 只 需要 用 
由 二 进 制 数 字 组 成 的 一 次 一 密 乱 码 本 代 伙 由 字母 组 成 的 一 次 一 密 乱 码 
本 ， 用 卉 或 代 亚 一 次 一 密 乱 码 本 的 明文 字符 加 法 即 可 。 为 了 解 窗 ， 用 同 
样 的 一 次 一 密 乱 码 本 对 密 文 异 或 ， 其 他 保持 不 变 ， 保 密 性 也 很 好 。 








这 听 起 来 很 好 ， 但 有 几 个 问题 。 因 为 密 钥 位 必须 是 随机 的 ， 并 且 绝 
不 能 重复 使 用 ， 所 以 密 钥 序列 的 长 度 要 等 于 消息 的 长 度 。 一 次 一 密 乱 码 
本 可 能 对 短信 息 是 可 行 的 ， 但 它 绝 不 可 能 在 1.44M 位 的 通信 信道 上 工 
作 。 你 能 在 一 张 CD-ROM 中 存储 650M 字 节 的 随机 二 进 制 数 ， 但 有 一 些 
问题 。 首先 ， 你 需要 准确 地 复制 两 份 随机 数位 ， 但 CD-ROM 只 是 对 大 量 
数据 来 说 是 经 济 的 ; 其 次 ， 你 需要 能 够 销毁 已 经 使 用 过 的 位 ， 而 CD- 
ROM 没 有 抹 除 设备 ， 除 非 物 理 毁 坏 整 张 盘 。 数 字 磁 带 对 这 种 东西 来 
说 ， 是 更 好 的 媒体 。 





即使 解决 了 密 钥 的 分 配 和 存储 问题 ， 还 需要 确信 发 送 者 和 接收 者 是 
完全 同步 的 。 如 果 接 收 者 有 1 位 的 偶 移 《或 者 一 些 位 在 传送 过 程 中 丢失 
了 ) ， 消 息 就 变 成 乱七八糟 的 东西 。 另 一 方面 ， 如 果 某 些 位 在 传送 中 被 
改变 了 (没有 增 减 任何 位 ， 更 像 是 由 于 随机 噪声 引起 的 ) ， 那 些 改变 了 
的 位 就 不 能 正确 地 解 冤 。 再 者 ， 一 次 一 密 乱 码 本 不 提供 鉴别 。 








一 次 一 密 乱 码 本 在 今天 仍 有 应 用 场合 ， 主 要 用 于 高 度 机 密 的 低 融 宽 


信道 。 美 国 和 苏联 之 间 的 热线 电话 《现在 还 在 起 作用 吗 ?) 据 传 就 是 用 
一 次 一 密 乱 码 本 加 蜜 的 。 许 多 办 联 间谍 传递 的 消 轧 也 是 用 一 次 一 蜜 乱码 
本 加 密 的 。 直 到 今天 ， 这 些 消息 仍 是 保密 的 ， 并 将 一 直 保 密 下 去 。 不 管 
超级 计算 机 工作 多 久 ， 也 不 管 半 个 世纪 中 有 多 少 人 ， 用 什么 样 的 方法 和 
技术 ， 具 有 多 大 的 计算 能 力 ， 他 们 都 不 可 能 阅读 苏联 间谍 用 一 次 一 密 乱 
码 本 加 窗 的 消息 〈 除 非 他 们 恰好 回 到 那个 年 代 ， 并 得 到 加 密 消 息 的 一 次 
二 作乱 人 本 大 








1.6 计算 机 算法 
计算 机 密码 算法 有 多 种 ， 最 通用 的 有 以 下 三 种 : 


(1) 数据 加 密 标 准 (Data Encryption Standard, DES) 是 最 通用 的 
计算 机 加 密 算 法 。DES 是 美国 和 国际 标准 ， 它 是 对 称 算法 ， 加 密 和 解密 
的 密 钥 是 相同 的 。 





(2) RSA (根据 它 的 发 明 者 命名 ， 即 Rivest、Shamir 和 Adleman) 
是 最 流行 的 公开 密 钥 算法 ， 它 能 用 作 加 密 和 数字 签名 。 


(3) 数字 签名 算法 (Digital Signature Algorithm，DSA， 用 做 数字 
签名 标准 的 一 部 分 ) 是 男 一 种 公开 密 钥 算法 ， 它 不 能 用 做 加 密 ， 只 用 做 
数字 签名 。 


些 就 是 本 书 所 要 涉及 的 内 容 。 


1.7 大 数 


本 书 使 用 了 各 种 大 数 去 描述 密码 算法 中 的 不 同 内 容 。 因 为 很 容易 忽 
略 这 些 数 和 和 它们 的 实际 意义 ， 所 以 表 1-1 给 出 了 一 些 大 数 的 物理 模拟 


| 三 :| 


Æo 


表 中 这 些 数 是 估计 的 数量 级 ， 并 且 是 从 各 种 资料 中 精 选 得 到 的 ， 天 
体 物理 学 中 许多 大 数 见 Freeman Dyson 的 文章 Time Without End: Physics 
and Biology in an Open Universe, Reviews of Modern Physics, v.52; 
n.3，1979.7，447~460。 汽 车 事故 的 死亡 人 数 是 根据 1993 年 交通 部 统计 
数据 每 百 万 人 中 有 163 起 死亡 事故 和 人 均 寿 命 为 69.7 年 计算 出 来 的 。 








表 1-1 K% 





物理 模拟 量 大 数 
每 天 被 内 电 杀 死 的 可 能 性 90 亿 (28) 分 之 一 
顾 得 国家 发 行 彩票 头等 奖 的 可 能 性 400 万 (272) 分 之 一 
硫 得 国家 发 行 彩票 涉 等 奖 并 且 在 同一 天 被 办 电 杀 死 的 可 能 性 POS ee 


每 年 渡 死 的 可 能 性 

1993 年 在 美国 交通 事故 中 死亡 的 可 能 性 
在 美国 死 于 交通 事故 的 可 能 性 
到 下 一 个 冰川 年 代 的 时 间 

到 太阳 变 成 新 星 的 时 间 
行星 的 年 龄 

宇宙 的 年 龄 

行星 中 的 原子 数 
太阳 中 的 原子 数 
银河 系 中 的 原子 数 

宇宙 中 的 原子 数 〈 黑 粒子 除外 ) 
宇宙 的 体积 

如 果 宇 宙 是 封闭 的 : 
宇宙 的 生命 期 


如 果 宇宙 是 开放 的 : 

到 小 弥撒 星 冷 却 下 来 的 时 间 

到 行星 脱离 星系 的 时 间 

到 行星 脱离 银河 系 的 时 间 

到 由 引力 线 引起 的 轨道 晓 变 的 时 间 
到 由 散播 过 程 引 起 黑洞 淹没 的 时 间 
到 所 有 物质 在 0 时 都 为 液体 的 时 间 
到 所 有 物质 都 旷 变 成 铁 的 时 间 

到 所 有 物质 都 收缩 为 黑洞 的 时 间 


59000 (2) 分 之 一 


6100 


(25) 分 之 一 


88 (27) 分 之 一 
14 000 (24) 年 
10° (25°) 4 


10° ¢ 
10° 
105! 
105° 
1067 


10% 
101026 
1021076 


230) 
(231) 年 
(2170) 
(219) 
(2223) 


77 (2265 ) 


(2789) cm? 


(287) 年 
(251) 


= 


20 (257 ) 


年 
年 
Casey 年 
年 


(2213) 年 
(2216) 年 
年 
年 


第 2 章 ”协议 结构 模块 


2.1 协议 概述 


密码 学 的 用 途 是 解决 种 种 难题 (实际 上 ， 很 多 人 起 记 了 这 也 是 计算 
机 的 主要 用 途 〉。 密 码 学 解决 的 各 种 难题 围绕 机 密 性 、 鉴 别 、 完 整 性 和 
不 诚实 的 人 。 你 可 能 了 解 各 种 算法 和 技术 ， 但 除非 它们 能 够 解决 菏 些 问 
题 ， 否 则 这 些 东 西 只 是 理论 而 已 ， 这 就 是 为 什么 要 先 了 解 协 议 的 原因 。 





协议 (protocol) 是 一 系列 步 又 ， 它 包括 两 方 或 多 方 ， 设 计 它 的 目 
的 是 要 完成 一 项 任务 。 这 个 定义 很 重要 :“ 一 系列 步 又 ”意味 着 协议 是 从 
开始 到 结束 的 一 个 序列 ， 每 一 步 必须 依次 执行 ， 在 前 一 步 完 成 之 前 ， 后 
面 的 步 又 都 不 能 执行 ; “包括 两 方 或 多 方 * 意 味 着 完成 这 个 协议 至 少 需 要 
两 个 人 ， 单 独 的 一 个 人 不 能 构成 协议 ， 当 然 单独 的 一 个 人 也 可 采取 一 系 
列 步骤 去 完成 一 个 任务 〈 例 如 烤 香 糕 ) ， 但 这 不 是 协议 〈 必 须 有 另外 一 
些 人 吃香 糕 才 构成 协议 ) ; 最 后 ,，“ 设 计 它 的 目的 是 要 完成 一 项 任务 ” 意 
味 着 协议 必须 做 一 些 事 。 有 些 东 西 看 起 来 像 协议 ， 但 它 不 能 完成 一 项 任 
务 ， 那 也 不 是 协议 ， 只 是 浪费 时 间 而 已 。 























协议 还 有 其 他 特点 : 


C1) 协议 中 的 每 个 人 都 必须 了 解 协议 ， 并 且 预 先知 道 所 要 完成 的 
AIA PR o 


(2) 协议 中 的 每 个 人 都 必须 同意 并 遵循 它 。 





(3) 协议 必须 是 清楚 的 ， 每 一 步 必 须 明 确定 义 ， 并 且 不 会 引起 误 


(4) 协议 必须 是 完整 的 ， 对 每 种 可 能 的 情况 必须 规定 具体 的 动 
作 。 


本 书 中 的 协议 就 安排 成 一 系列 步骤 ， 并 且 协 议 是 按照 规定 的 步骤 线 
性 执行 的 ， 除 非 指 定 它 转 到 其 他 步骤 。 每 一 步 至 少 要 做 下 列 两 件 事 中 的 
一 件 ， 即 由 一 方 或 多 方 计 算 ， 或 者 在 各 方 中 传 送信 息 。 














密码 协议 (cryptographic protocol) 是 使 用 密码 学 的 协议 。 参 与 该 
协议 的 各 方 可 能 是 朋友 和 完全 信任 的 人 ， 或 者 也 可 能 是 敌人 和 互相 完全 
不 信任 的 人 。 密 码 协议 包含 某 种 密码 算法 ， 但 通常 协议 的 目的 不 仅仅 是 
为 了 简单 的 秘密 性 。 参 与 协议 的 各 方 可 能 为 了 计算 一 个 数值 想 共 享 它们 
的 秘密 部 分 ， 共 同 产生 随 机 系列 ， 确 定 相互 的 吴 份 或 者 同时 签署 合同 。 
在 协议 中 使 用 密码 的 目的 是 防止 或 发 现 锅 昕 者 和 欺骗 。 如 果 你 以 前 没有 
见 过 这 些 协议 ， 它 们 会 从 根本 上 改变 你 的 思想 ， 相 互 不 信任 的 各 方 也 能 








够 在 网 络 上 完成 这 些 协议 。 一 般 地 ， 这 能 够 陈述 为 : 


不 可 能 完成 或 知道 得 比 协议 中 规定 的 更 多 。 


这 看 起 来 很 难 。 接 下 来 的 几 章 讨 论 了 许多 协议 。 在 其 中 的 一 些 协 议 
中 ， 参 与 者 中 的 一 个 有 可 能 欺骗 其 他 人 。 窃 听 者 也 可 能 暗中 破坏 协议 或 
获悉 秘密 信息 。 一 些 协议 之 所 以 失败 ， 是 因为 设计 者 对 需求 定义 得 不 是 
很 完备 ， 还 有 一 些 原 因 是 由 于 协议 的 设计 者 分 析 得 不 够 充分 。 就 像 算法 
一 样 ， 证 明 它 不 安全 比 证 明 它 安全 容易 得 多 














2.1.1 协议 的 目的 


在 日 常生 活 中 ， 几 乎 所 有 的 事情 都 有 非 正 式 的 协议 : 电话 订货 
扑克 、 选 举 中 投票 ， 没 有 人 认真 考虑 过 这 些 协 议 ， 这 些 协议 随 着 时 间 的 
推移 而 发 展 ， 人 们 都 知道 怎样 使 用 它们 ， 而 且 它 们 也 很 有 效 。 





越 来 越 多 的 人 通过 计算 机 网 络 交 流 ， 从 而 代替 了 面对面 的 交流 。 计 
算 机 需要 正式 的 协议 来 完成 人 们 不 用 考虑 就 能 做 的 事情 。 如 果 你 从 一 个 
州 迁 移 到 另 一 个 州 ， 你 可 能 会 发 现 投票 亭 与 你 以 前 使 用 的 完全 不 同 ， 你 
很 容易 适应 它 。 但 计算 机 束 不 那么 灵活 了 。 








许多 面对面 的 协议 依靠 人 的 现场 存在 来 保证 公平 和 安全 。 你 会 交 给 
陌生 人 一 二 现 金 去 为 你 买 食品 吗 ? 如 果 没 有 看 到 洗 牌 和 发 牌 ， 你 愿意 和 


陌生 人 玩 扑 殉 吗 ?如 果 没 有 匿名 的 保证 ， 你 会 将 秘密 投票 寄 给 政府 吗 ? 





那 种 假设 使 用 计算 机 网 络 的 人 都 古城 实 的 想法 ， 真 是 太 天 真 了 。 天 
真 的 想法 还 有 : 假设 计算 机 网 络 的 管理 员 是 诚实 的 ， 假 设计 算 机 网 络 的 
设计 者 是 诚实 的 。 当 然 ， 绝 大 多 数 人 是 诚实 的 ， 但 是 不 诚实 的 少数 人 可 
能 招致 很 多 损害 。 通 过 规定 协议 ， 可 以 伍 出 不 诚实 者 企图 欺骗 的 把 戏 ， 
还 可 开发 挫败 这 些 欺骗 者 的 协议 。 





除了 规定 协议 的 行为 之 外 ， 协 议 还 根据 完成 菏 项 任务 的 机 理 ， 抽 象 
出 完成 此 任务 的 过 程 。 不 管 是 PC 机 还 是 VAX 机 ， 通 信 协 议 是 相同 的 。 
我 们 能 够 考 碍 协议 ， 而 不 用 团 于 具体 的 实现 上 。 当 我 们 坚信 有 一 个 好 的 
协议 时 ， 在 从 计算 机 到 电话 再 到 智能 烘箱 的 所 有 事情 中 ， 我 们 都 能 够 实 


WE o 





2.1.2 ”协议 中 的 角色 


为 了 帮助 说 明 协议 ， 我 列 出 了 几 个 人 作为 助手 〈 见 表 2-1) 。Alice 
和 Bob 是 开始 的 两 个 人 人。 他们 将 完成 所 有 的 两 人 协议 。 按 规定 ， 由 Alice 
发 起 所 有 协议 ，Bob 啊 应 。 如 果 协 议 需 要 第 三 或 第 四 人 ，Carol 和 Dave 将 
扮演 这 些 角 色 。 由 其 他 人 扮演 的 专门 配角 ， 将 在 后 面 介绍 。 


表 2-1 PA 





人 名 角 色 人 名 角 色 

Alice 所 有 协议 中 的 第 一 个 参加 者 Mallory “恶意 的 主动 攻击 者 

Bob 所 有 协议 中 的 第 二 个 参加 者 Trent 值得 信赖 的 仲裁 者 

Carol : 、 四 方 协议 中 的 参加 者 Walter 仲裁 者 : 在 某 些 协议 中 保护 Alice 和 Bob 
Dave 四 方 协议 中 的 参加 者 Peggy 证 明 人 

Eve 窃听 者 Victor 验证 者 








2.1.3 ”仲裁 协议 


(ik (arbitrator) 是 在 完成 协议 的 过 程 中 ， 值 得 信任 的 公正 的 第 
三 方 〈《 见 图 2-1la) ,“ 公 正 ? 意 味 着 仲裁 者 在 协议 中 没有 既得 利益 ， 对 参 
与 协议 的 任何 人 也 没有 特别 的 利害 关系 。“ 值 得 信任 ”表示 协议 中 的 所 有 
人 都 接受 这 一 事实 ， 即 仲裁 者 说 的 都 是 真实 的 ， 他 做 的 都 是 正确 的 ， 并 
且 他 将 完成 协议 中 涉及 他 的 部 分 。 仲 裁 者 能 帮助 互 不 信任 的 双方 完成 协 
议 。 








在 现实 社会 中 ， 律 师 经 常 作为 仲裁 者 。 例 如 ，Alice 要 卖 汽车 给 不 认 
识 的 Bob 。Bob 想 用 支票 付 账 ， 但 Alice 不 知道 支票 的 真 假 。 在 Alice 将 车 
子 转 给 Bob 前 ， 她 必须 碍 清文 票 的 真 伪 。 同 样 ，Bob 也 并 不 相信 和 Alice， 
就 像 Alice 不 相信 Bob 一 样 ， 在 没有 获得 所 有 权 前 ， 也 不 愿 将 支票 交 与 
Alice。 











Alice 





Alice 





一 (After the fact) 


Evidence 


Alice 


Evidence 








c) 上 自动 执行 协议 


图 2-1 协议 类 型 





这 时 就 需要 双方 都 信任 的 律师 。 在 律师 的 帮助 下 ，Alice 和 Bob 能 够 
用 下 面 的 协议 保证 互 不 欺骗 。 


(1) Alice 将 车 的 所 有 权 交 给 律师 。 


(2) Bob 将 支票 交 给 Alice。 





(3) Alice 在 银行 兑现 支票 。 


(4) 在 等 到 支票 鉴别 无 误 能 够 兑现 的 时 间 之 后 ， 律 师 将 车 的 所 有 
权 交 给 Bob。 如 果 在 规定 的 时 间 内 文 办 不 能 匈 现 ，Alice 将 证 据 出 示 给 律 
师 ， 律 师 将 车 的 所 有 权 和 钥匙 交还 给 Alice。 


在 这 个 协议 中 ，Alice 相 信 律师 不 会 将 车 的 所 有 权 交 给 Bob， 除 非 文 
POA; WESC PAE UL, FIER AG Alice. M 
Bob SEMA EKHAR, FESR BUS, KREEKA A BA ee 
XA. TM EITIIFA DOD Sake BLL, AEP Ata PR R AB 
些 他 应 该 做 的 事 ， 因 为 不 管 在 哪 种 情况 下 ， 他 都 有 报酬 。 





在 这 例子 中 ， 人 律师 起 着 担保 代理 作用 。 律 师 也 作为 遗嘱 和 合同 谈判 
的 仲裁 人 ， 还 作为 各 种 股票 交易 中 买方 和 卖方 之 间 的 仲裁 人 。 





银行 也 使 用 仲裁 协议 。Bob 能 够 用 保 付 文 票 从 Alice 手 中 购买 汽车 : 


(1) Bob 开 一 张 文 票 并 交 到 银行 。 


(2) 在 验 明 Bob 的 钱 足 以 支付 支票 上 的 数目 后 ， 银 行将 保 付 支票 交 
与 Bob。 


(3) Alice 将 车 的 所 有 权 交 给 Bob，Bob 将 保 付 支票 交 给 Alice。 


(4) Alice 兑 现 支票 。 


这 个 协议 也 是 有 效 的 ， 因 为 Alice 相 信和 银行 的 证 明 。Alice 相 信和 银行 
保存 有 能 付 给 她 的 Bob 的 钱 ， 不 会 将 钱 用 于 蚊虫 滋生 的 国家 财政 不 稳 的 
房地产 业务 。 


公证 人 是 男 一 种 仲裁 者 ， 当 Bob 从 Alice 接 收 到 已 公证 的 文件 时 ， 他 
相信 Alice 签 署 的 文件 是 她 自己 杀 目 签署 的 。 如 果 有 必要 ， 公 证 人 可 出 用 
证 实 这 个 事实 。 








仲裁 者 的 概念 与 人 类 社会 一 样 您 入 。 总 是 有 那么 一 些 人 一 一 统治 
者 、 牧 师 等 ， 他 们 有 公平 处 理事 情 的 权威 。 在 我 们 的 社会 中 ， 仲 裁 者 总 
征 有 一 定 社会 地 位 和 声望 的 人 。 而 背叛 公众 的 信任 是 很 危险 的 事情 。 例 
如 ， 视 担保 为 儿戏 的 律师 几乎 肯定 会 被 开除 出 律师 界 。 现 实 世 界 里 并 不 
总 是 如 此 美好 的 ， 但 它 确 是 理想 的 。 














这 种 思想 可 以 转化 到 计算 机 世界 中 ， 但 计算 机 仲裁 者 有 下 面 几 个 问 





C1) 如 果 你 知道 对 方 是 谁 ， 并 能 见 到 他 的 面 ， 那 么 很 容易 找到 和 
相信 中 立 的 第 三 方 。 而 互相 怀疑 的 双方 很 可 能 也 怀疑 在 网 络 别 的 什么 地 
方 并 不 露面 的 仲裁 者 。 





D 计算 机 网 络 必须 负担 仲裁 者 的 费用 。 残 像 我 们 知道 的 律师 费 


用 ， 谁 想 负 担 那 种 网 络 费 用 呢 ? 
(3) 在 任何 仲裁 协议 中 都 有 延迟 的 特性 。 


(4) 仲裁 者 必须 处 理 每 一 笔 交 易 。 任 何 一 个 协议 在 大 范围 执行 
时 ， 仲 裁 者 是 潜在 的 瓶 贷 。 增 加 仲裁 者 的 数目 能 绥 解 这 个 问题 ， 但 费用 


将 会 增加 。 


(5) 由 于 在 网 络 中 每 人 都 必须 相信 仲裁 者 ， 对 试图 破坏 网 络 的 人 
来 说 ， 仲 裁 者 便 是 一 个 易 受 攻击 的 弱点 。 


尽管 如 此 ， 仲 裁 者 仍 扮演 一 个 角色 。 在 使 用 可 信任 的 仲裁 协议 中 ， 
这 个 角色 将 由 Trent 来 扮演 。 


2.1.4 裁决 协议 


由 于 履 用 仲裁 者 代价 高 郧 ， 仲 裁 协 议 可 以 分 成 两 个 低级 的 于 协议 
Csubprotocol) : 一 个 是 非 仲裁 子 协议 ， 执 行 协议 的 各 方 每 次 想 要 完成 
的 ， 另 一 个 是 仲裁 子 协议 ， 仅 在 例外 的 情况 下 ， 即 有 争议 的 时 候 才 执 
行 。 这 种 特殊 的 仲裁 者 叫做 裁决 者 (参见 图 2-1b〉。 


裁决 者 也 是 公正 和 可 信 的 第 三 方 。 他 不 像 仲裁 者 ， 并 不 直接 参与 每 
一 个 协议 。 只 有 需要 确定 协议 是 否 公 平地 执行 时 ， 才 将 他 请 来 。 


法 官 是 职业 的 裁决 者 。 法 官 不 像 仲裁 者 ， 仅 仅 在 有 争议 时 才 需 要 他 
出 场 ，Alice 和 Bob 可 以 在 没有 法 官 的 情况 下 订立 合同 。 除 非 他 们 中 有 一 
个 人 把 另 一 人 拖 到 法 院 ， 人 否则 法 官 决 不 会 看 到 合同 。 


合同 -签字 协议 可 以 归纳 为 下 面 的 形式 。 


非 仲裁 子 协议 《每 次 都 执行 ) : 


(1) Alice 和 Bob 谈 判 合同 的 条 款 。 


(2) Alice 签 署 合 同 。 


(3) Bob 签 署 合 同 。 


裁决 子 协议 〈 仅 在 有 争议 时 执行 ) : 


(1) Alice 和 Bob 出 现在 法 官 面前 。 


(2) Alice 提 出 她 的 证 据 。 


(3) Bob 也 提出 他 的 证 据 。 


(4) 法 官 根据 证 据 裁 决 。 





裁决 者 和 仲裁 者 之 间 的 不 同 是 裁决 者 并 不 总 是 必需 的 。 如 果 有 争 
议 ， 法 官 被 请 来 裁决 。 如 果 没 有 争议， 就 没有 必要 请 法 官 。 


己 经 有 了 计算 机 裁决 协议 。 这 些 协议 依赖 于 与 协议 有 关 的 各 方 都 是 
诚实 的 。 如 果 有 人 怀疑 被 欺骗 时 ， 一 个 中 立 的 第 三 方 能 够 根据 存在 的 数 
据 正 文 文本 判断 是 否 有 人 在 欺骗 。 在 好 的 裁决 协议 中 ， 裁 决 者 还 能 确定 
欺骗 人 的 映 份 。 锥 决 协 议 是 为 了 发 现 欺 骗 ， 而 不 是 为 了 阻止 欺骗 。 发 现 
欺骗 起 了 防止 和 阻碍 欺骗 的 作用 。 


2.1.5” 目 动 执行 协议 


自动 执行 协议 (self-enforcing protocol) 是 协议 中 最 好 的 。 协 议 本 
身 就 保证 了 公平 性 〈 见 图 2-1c) ， 不 需要 仲裁 者 来 完成 协议 ， 也 不 需要 
裁决 者 来 解决 争端 。 协 议 的 构成 本 身 使 得 不 可 能 发 生 和 争端 。 如 果 协 议 中 
的 一 方 试图 欺骗 ， 其 他 各 方 马 上 就 能 发 觉 并 且 停 止 执行 协议 。 无 论 欺骗 
方 想 通 过 欺骗 来 得 到 什么 ， 他 都 不 能 如 愿 以 偿 。 





每 个 协议 最 好 都 是 自动 执行 协议 。 不 幸 的 是 ， 对 于 所 有 情形 ， 都 没 
有 一 个 目 动 执行 协议 。 


2.1.6 ”对 协议 的 攻击 





密码 攻击 可 以 直接 攻击 协议 中 所 用 的 密码 算法 或 用 来 实现 该 算法 和 
协议 的 密码 技术 或 攻击 协议 本 里。 本 市 仅 讨论 最 后 一 种 情况 。 假 设 密码 
算法 和 密码 技术 都 是 安全 的 ， 只 关注 对 协议 本 里 的 攻击 。 





可 以 采用 各 种 方法 对 协议 进行 攻击 。 与 协议 无 关 的 人 能 够 窃听 协议 
的 一 部 分 或 全 部 ， 这 叫做 被 动 攻击 (passive attack) ， 因 为 攻击 者 不 可 
能 影响 协议 。 所 有 他 能 做 的 事 是 观察 协议 并 试图 获取 消息 。 这 种 攻击 相 
当 于 在 1.1 节 中 讨论 的 唯 密 文 攻击 。 由 于 被 动 攻击 难于 发 现 ， 所 以 协议 
应 阻止 被 动 攻击 而 不 是 发 现 这 种 攻击 。 在 这 种 协议 中 ， 守 听 者 的 角色 将 
由 Eve 扮演 。 


另 一 种 攻击 可 能 改变 协议 以 便 对 目 己 有 利 。 他 可 能 假装 是 其 他 一 些 
人 ， 在 协议 中 引入 新 的 消息 ， 删 掉 原 有 的 消 轧 ， 用 另外 的 消 妃 代替 原来 
的 消 妃 ， 重 放 旧 的 消息 ， 破 坏 通 信人 信道， 或 者 改变 存储 在 计算 机 中 的 消 
息 等 。 这 些 叫 做 主动 攻击 (active attack) ， 因 为 它们 具有 主动 的 干 
预 。 这 种 形式 的 攻击 依赖 于 网 络 。 











被 动 攻击 试图 获取 协议 中 各 方 的 消息 。 它 们 收集 协议 各 方 所 传送 的 
消息 ， 并 试图 对 它们 进行 密码 分 析 。 而 主动 攻击 可 能 有 更 多 的 目的 。 攻 
击 者 可 能 对 获取 消息 感 兴趣 ， 也 可 能 降低 系统 性 能 ， 破 坏 书 有 的 消息 ， 
或 者 获得 非 授权 的 资源 存 取 。 





主动 攻击 严重 得 多 ， 特 别 是 在 那些 各 方 都 不 必 彼 此 信任 的 协议 中 。 
攻击 者 不 一 定 都 是 入 侵 者 ， 他 可 能 是 合法 的 系统 用 户 ， 也 可 能 是 系统 管 
理 员 。 甚 至 有 很 多 主动 攻击 者 在 一 起 工作 ， 每 人 都 是 合法 的 系统 用 户 。 
这 个 恶意 的 主动 攻击 者 的 角色 将 由 Mallory 扮 演 。 











攻击 者 也 可 能 是 与 协议 有 关 的 各 方 中 的 一 方 。 他 可 能 在 协议 期 间 撤 
谨 ， 或 者 根本 不 萤 守 协议 ， 这 类 攻击 者 叫做 驴子 (cheater) o WT 
(passive cheater) 遵守 协议 ， 但 试图 获取 协议 外 的 其 他 消息 。 主 动 驴子 
(active cheater) 在 协议 的 执行 中 试图 通过 欺骗 来 破坏 协议 。 





如 宁 与 协议 有 关 的 各 方 中 的 大 多 数 都 是 主动 蚤 了 于， 则 很 难保 证 协议 
的 安全 性 。 但 合法 用 户 发 觉 是 否 有 主动 欺骗 是 可 能 的 。 当 然 ， 协 议 对 被 
动 欺骗 来 说 应 该 是 安全 的 。 











2.2 ”使 用 对 称 密码 系统 通信 


通信 双方 怎样 安全 地 通信 呢 ? 当然 ， 他 们 可 以 对 通信 加 密 。 完 整 的 
协议 比 它 更 复杂 ， 让 我 们 来 看 看 当 Alice 发 送 加 密 的 消息 给 Bob 时 会 发 生 
什么 情况 。 


(1) Alice 和 Bob 协 商用 同一 个 密码 系统 。 
(2) Alice 和 Bob 协 商 同一 个 密 铀 。 


(3) Alice 用 加 密 算 法 和 选取 的 密 钥 加 密 她 的 明文 消息 ， 得 到 了 密 
MAA. 

(4) Alice Rik CYR 24 Bob. 

(5) Bob 用 同样 的 算法 和 密 钥 解密 密 文 ， 然 后 读 它 。 


位 于 Alice 和 Bob 之 间 的 窃听 者 Eve 监听 这 个 协议 ， 她 能 做 什么 呢 ? 
如 果 她 听 到 的 是 在 第 〈4) 步 中 发 送 的 密 文 ， 她 必须 设法 分 析 密 文 ， 这 
是 唯 密 文 的 被 动 攻击 法 。 有 很 多 算法 能 够 阻止 Eve， 使 她 不 可 能 得 到 问 
题 的 解答 





尽管 如 此 ， 但 Eve 却 不 笨 ， 她 也 想 窃 听 第 a) 步 和 第 (2) 步 ， 这 
样 她 就 知道 了 算法 和 密 钥 ， 她 就 和 Bob 知 道 的 一 样 多 。 当 第 〈4) 步 中 的 





消息 通过 信道 传送 过 来 时 ， 她 所 做 的 全 部 工作 就 是 解密 密 文 消息 。 


好 的 密码 系统 的 全 部 安全 性 只 与 密 钥 有 关 ， 与 算法 没有 任何 关系 。 
这 就 是 为 什么 密 钥 管理 在 密码 学 中 如 此 重要 的 原因 。 有 了 对 称 算法 ， 
Alice 和 Bob 能 够 公开 地 实现 第 (1) 步 ， 但 必须 秘密 地 完成 第 (2) 步 。 
在 协议 执行 前 、 执 行 过 程 中 和 执行 后 ， 只 要 消 奶 必须 保持 秘密 ， 密 钥 右 
必须 保持 秘密 ; AU, TRU ABE So. 《公开 密 钥 密码 学 用 另 一 
种 方法 解决 了 这 个 问题 ， 将 在 2.5 节 中 讨论 。) 


主动 攻击 者 Mallory 可 能 做 其 他 一 些 事情 ， 他 可 能 企图 破坏 在 第 
(4) 步 中 使 用 的 通信 信道 ， 使 Alice 和 Bob 根 本 不 可 能 通信 。 他 也 可 能 
截取 Alice 的 消息 并 用 他 自己 的 消息 蔡 代 它 。 如 果 他 也 知道 密 铀 〈 通 过 截 
取 第 (2) 步 的 通信 或 者 破译 密码 系统 ) ， 他 可 能 加 密 自己 的 消息 ， 然 
后 发 送 给 Bob， 用 来 代替 截取 的 消息 。Bob 没 有 办 法 知道 接收 到 的 消息 
不 是 来 自 Alice。 如 果 Mallory 不 知道 密 钥 ， 他 所 产生 的 代 蔡 消息 ， 被 解 
密 出 来 是 无 意义 的 ，Bob 就 会 认为 网 络 或 者 Alice 有 严重 的 问题 。 


Alice X BARENE? 她 能 做 什么 来 破坏 这 个 协议 吗 ? 她 可 以 把 密 钥 的 
副本 发 给 Eve。 现 在 Eve 可 以 读 Bob 所 发 送 的 消息 ， 他 还 不 知道 Eve 已 经 
把 他 的 话 重 印 在 《纽约 时 报 》 上 。 虽 然 问 题 很 严重 ， 但 这 并 不 是 协议 的 
问题 。 在 协议 过 程 的 任何 一 点 都 不 可 能 阻止 Alice 把 明文 的 副本 交 给 
Eve。 当 然 Bob 也 可 能 做 Alice 所 做 的 事 。 协 议 假定 Alice 和 Bob 互 相信 
ae 





总 之 ， 对 称 密码 算法 存在 下 面 的 问题 : 


(1) 密 钥 必须 秘密 地 分 配 。 它 们 比 任何 加 密 的 消 奶 更 有 价值 ， 因 
为 知道 了 蜜 钥 就 意味 着 知道 了 所 有 消 轧 。 对 于 胃 及 世界 的 加 密 系 统 ， 这 
可 能 是 令 人 泪 形 的 任务 ， 需 经 常 派 信 使 将 密 钥 传递 到 目的 地 。 





(2) 如 果 密 钥 被 泄露 了 〈 被 偷 历 、 猜 出 来 、 被 逼迫 交 出 来 、 受 贿 
等 ) ， 那 么 Eve 就 能 用 该 密 钥 去 解密 所 有 传送 的 消息 ， 也 能 够 假 效 是 协 
议 中 的 一 方 ， 产 生 虚 假 消 息 去 种 弄 为 一 方 。 





(3) 假设 网 络 中 每 对 用 户 使 用 不 同 的 密 钥 ， 那 么 密 钥 总 数 随 着 用 
户 数 的 增加 迅速 增加 。n 个 用 户 的 网 络 需要 n(n-1) / 2 个 密 钥 。 例 如 ， 
10 个 用 户 互相 通信 需要 45 个 不 同 的 密 钥 ，100 个 用 户 需 要 4950 个 不 同 的 
密 钥 。 这 个 问题 可 以 通过 将 用 户 数量 控制 在 较 小 数目 来 减轻 ， 但 这 并 不 


总 是 可 能 的 。 





2.3 单 癌 函数 


单 癌 函数 (one-way function) 的 概念 是 公开 密 钥 密码 的 中 心 。 
管 它 本 喘 并 不 是 一 个 协议 ， 但 对 本 书 所 讨论 的 大 多 数 协议 来 说 却 是 一 个 
基本 结构 模块 。 


单 辐 函 数 计算 起 来 相对 容易 ， 但 求 逆 却 非常 困难 。 也 就 是 说 ， 己 知 
x， 我 们 很 容易 计算 f(x〉 。 但 已 知 f Cx) ， 却 难于 计算 出 x。 这 

“ 难 ? 定 义 成 : 即使 世界 上 所 有 的 计算 机 都 用 来 计算 ， 从 f(x) 计算 
出 x 也 要 花费 数 百 万 年 的 时 间 。 


打 碎 盘子 就 是 一 个 很 好 的 单 同 函数 的 例子 。 把 盘子 打 碎 成 数 干 片 寿 
片 是 很 容易 的 事情 ， 然 而 ， 要 把 所 有 这 些 碎片 再 拼 成 为 一 个 完整 的 盘 
子 ， 却 是 非常 困难 的 事情 。 


这 上 听 起 来 很 好 ， 但 事实 上 却 不 能 证 实 它 的 真实 性 。 如 果 严 格 地 按 数 
学 定义 ， 不 能 证 明 单 向 函数 的 存在 性 ， 同 时 也 没有 实际 的 证 据 能 够 构造 
出 单 向 函数 。 即 使 这 样 ， 还 是 有 很 多 函数 看 起 来 像 单 向 函数 : 我 们 能 够 
有 效 地 计算 它们 ， 且 至 今 还 不 知道 有 什么 办 法 能 容易 地 求 出 它们 的 逆 。 
flan, ZEA BR Ax? 很 容易 计算 ， 但 计算 xl“ 却 难 得 多 。 在 本 节 中 ， 假 
定单 向 函数 存在 ，11.2 节 将 更 详细 地 讨论 它 。 














那么 ， 单 向 函数 有 什么 好 处 呢 ? 单 向 函数 不 能 用 作 加 密 。 用 单 向 函 
数 加 密 的 消息 是 这 无 用 处 的 ， 无 人 能 破解 它 〈 练 习 : 在 盘子 上 写 上 消 
息 ， 然 后 砸 成 碎片 ， 把 这 些 碎片 给 你 的 朋友 ， 要 求 你 的 朋友 读 这 上 面 的 
消息 ， 观 察 你 的 朋友 对 单 向 函数 会 有 多 么 深刻 的 印象 ，。 对 公开 密 钥 密 
码 ， 我 们 还 需要 一 些 其 他 的 东西 (虽然 有 单 向 函数 的 密码 学 应 用 ， 参 见 
3.2) % 





陷 门 单 向 函数 (trapdoor one-way function) 是 有 一 个 秘密 陷 门 的 一 
类 特殊 的 单 向 函数 。 它 在 一 个 方向 上 易于 计算 而 反方 向 却 难于 计算 。 但 
是 ， 如 果 你 知道 那个 秘密 ， 你 也 能 很 容易 在 另 一 个 方向 上 计算 出 这 个 函 
数 。 也 就 是 说 ， 已 知 x*， 易 于 计算 f (x) ; 而 已 知 f (x) ， 却 难于 计算 
x。 然 而 ， 有 一 些 秘密 消息 y， 一 旦 给 出 f (x) 和 y， 就 很 容易 计算 x。 





拆 开 表 是 一 个 很 好 的 陷 门 单 同 函 数 的 例子 。 把 表 拆 成 数 百 片 小 请 很 
容易 ， 而 把 这 些小 片 组 奢 成 能 够 工作 的 表 非 常 困 难 。 然 而 ， 通 过 秘密 消 
E RRRS), MRR DEKE. 








2.4 $ HELAI] PR BL 


单 向 散 列 函数 Cone-way hash function) 有 很 多 名 字 : 压缩 函数 、 
收缩 函数 、 消 息 摘 要 、 指 纹 、 密 码 校 验 和 、 信 息 完整 性 检验 (Message 
Integrity Check, MIC) 、 操 作 检 验 码 (Manipulation Detection Code, 
MDC) 。 不 管 你 怎么 叫 ， 它 都 是 现代 密码 学 的 中 心 。 单 向 散 列 函数 是 
许多 协议 的 另 一 个 结构 模块 。 


散 列 函数 长 期 以 来 一 直 在 计算 机 科学 中 使 用 ， 无 论 从 数学 或 其 他 角 
度 看 ， 散 列 函 数 束 是 把 可 变 长 度 和 输入 串 《〈 叫 做 预 映 射 pre-image) 转 
换 成 固定 长 度 〈 经 常 更 短 ) 输出 串 《〈 叫 做 散 列 值 hash value) 的 一 种 
男 数 。 简 单 的 散 列 函数 就 是 对 预 映 射 的 处 理 ， 并 且 返 回 由 所 有 输入 字 
异 或 组 成 的 字 市 





这 里 的 关键 就 是 采集 预 映 射 的 指纹 : 产生 一 个 值 ， 这 个 值 能 够 指出 
候选 预 映 射 与 真实 的 预 映 射 是 否 有 相同 的 值 。 因 为 散 列 函数 是 典型 的 多 
到 一 的 函数 ， 所 以 不 能 用 它 来 确定 两 个 哩 一 定 相 同 ， 但 可 用 它 来 得 到 准 
确 性 的 合理 保证 。 


单 辐 散 列 函数 是 在 一 个 方向 上 运算 的 散 列 函数 ， 从 预 映 冉 的 值 很 容 
易 计算 其 散 列 值 ， 但 要 使 其 散 列 值 等 于 一 个 特殊 值 却 很 难 。 前 面 提 到 的 
散 列 函 数 不 是 单 癌 函数 : 己 知 一 个 特殊 的 字 节 值 ， 要 产生 一 个 字 市 串 使 


它 的 异 或 结果 等 于 那个 值 是 很 容易 的 事情 。 用 单 同 散 列 函数 你 不 可 能 那 
样 做 。 好 的 散 列 函数 也 是 无 冲突 的 〈collision-free) : 难于 产生 两 个 预 
映射 的 值 ， 使 它们 的 散 列 值 相同 。 


散 列 函数 是 公开 的 ， 对 处 理 过 程 不 用 保密 。 单 向 散 列 函数 的 安全 性 

它 的 单 向 性 。 其 输出 不 依赖 于 输入 。 平 均 而 言 ， 预 映射 值 单个 位 的 改 

变 ， 将 引起 散 列 值 中 一 半 位 的 改变 。 已 知 一 个 散 列 值 ， 要 找到 预 映 射 的 
值 ， 使 它 的 散 列 值 等 于 已 知 的 散 列 值 在 计算 上 是 不 可 行 的 。 





可 把 单 向 散 列 函数 看 做 是 构成 指纹 文件 的 一 种 方法 。 如 果 你 想 验 证 
某 人 持 有 特定 的 文件 〈 你 同时 也 持 有 该 文件 ) ， 但 你 不 想 让 他 将 文件 传 
给 你 ， 那 么 就 要 求 他 将 该 文件 的 单 向 散 列 值 传送 给 你 。 如 果 他 传送 的 散 
列 值 是 正确 的 ， 那 么 几乎 可 以 肯定 地 说 他 持 有 那 份 文件 。 这 在 金融 交易 
中 非常 有 用 ， 你 不 希望 在 网 络 某 个 地 方 把 提取 100 美 元 变 成 提取 1000 美 

。 一 般 情 况 下 ， 应 使 用 不 带 密 钥 的 单 向 散 列 函数 ， 以 便 任 何人 都 能 验 
证 散 列 值 。 如 果 你 只 想 让 接收 者 验证 散 列 值 ， 那 么 就 见 下 一 


消息 鉴别 码 (Message Authentication Code, MAC) 也 叫 数据 鉴别 
码 (DAC) ， 它 是 带 有 秘密 密 钥 的 单 向 散 列 函数 《〈 见 18.14 节 ) 。 散 列 
值 是 预 映 射 的 值 和 密 钥 的 函数 。 这 在 理论 上 与 散 列 函数 一 样 ， 只 有 拥有 





密 钥 的 某 些 人 才能 验证 散 列 值 。 可 以 用 散 列 函数 或 分 组 加 密 算 法 产生 
MAC， 也 有 专用 于 MAC 的 算法 。 


2.5 使 用 公开 密 钥 密码 系统 通信 








对 称 算法 可 看 成 保险 柜 ， 密 钥 就 是 保险 柜 的 号 码 组 合 。 知 道 写 个 组 
合 的 人 能 够 打开 保险 柜 ， 放 入 文件 ， 再 关闭 它 。 持 有 号 人 码 组 合 的 其 他 人 
可 以 打开 保险 柜 ， 取 出 文件 。 而 不 知道 保险 柜 号 码 组 合 的 人 就 必须 摸索 
打开 保险 柜 的 方法 。 





1976 年 ，Whitfield Diffie 和 Martin Hellman 永 远 改 变 了 密码 学 的 范例 
L496] (NSA 宣 称 早 在 1966 年 就 有 了 这 种 概念 的 知识 ， 但 没有 提供 证 
据 ) ， 他 们 提出 了 公开 密 钥 密码 学 (public-key cryptography) 。 他 们 使 
用 两 个 不 同 的 密 钥 : 一 个 是 公开 的 ， 另 一 个 是 秘密 的 。 从 公开 密 钥 很 难 
推断 出 私人 密 钥 。 持 有 公开 密 钥 的 任何 人 都 可 加 密 消息 ， 但 却 不 能 解 
密 。 只 有 持 有 私人 密 钥 的 人 才能 解密 。 就 好 像 有 人 把 密码 保险 柜 变 成 一 

个 信箱 ， 把 邮件 投 进 信箱 相当 于 用 公开 密 钥 加 密 ， 任 何人 都 可 以 做 ， 只 
要 打开 窗口 ， 把 它 投 进去 。 取 出 邮件 相当 于 用 私人 密 钥 解 密 。 一 般 情 况 
下 ， 打 开 它 很 难 ， 你 需要 焊接 机 和 火把 。 但 如 果 你 拥有 私人 密 钥 〈 开 信 
箱 的 钥匙 ) ， 就 很 容易 从 信箱 中 取出 邮件 。 

















从 数学 上 来 说 ， 这 个 过 程 基 于 前 面 讨论 过 的 单 同 陷 门 函数 。 加 和 密 很 
容易 ， 加 密 指 令 就 是 公开 密 钥 ， 任 何人 都 能 加 密 消 轧 。 解 密 非 常 困难 ， 
以 至 于 如 果 不 知道 这 个 秘密 ， 即 使 用 Cray 计 算 机 和 数 百 万 年 的 时 间 都 不 


能 解 开 这 个 消 轧 。 这 个 秘密 或 陷 门 就 是 私人 密 铀 。 持 有 这 个 秘密 ， 解 密 
就 和 加 密 一 样 容易 。 


下 面 描述 Alice 怎 样 使 用 公开 窗 钥 密码 发 送 消息 给 Bob: 


(1) Alice 和 Bob 选 用 一 个 公开 密 钥 密码 系统 。 


(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。 


(3) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ， 然 后 传送 给 Bob。 


(4) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 。 





注意 公开 密 钥 密码 是 怎样 解决 对 称 密码 系统 的 密 钥 管 理 问题 的 。 在 
对 称 密码 系统 中 ，Alice 和 Bob 不 得 不 选取 同一 密 钥 。Alice 能 够 随机 选取 
一 个 ， 但 她 不 得 不 把 选取 的 密 钥 传 给 Bob。 她 可 能 事先 交 给 Bob， 但 那 
样 做 需要 有 先 见 之 明 。 她 也 可 以 通过 秘密 信使 把 密 钥 送 给 Bob， 但 那样 
做 太 费 时 间 。 采 用 公开 密 钥 密码 ， 就 很 容易 了 ， 不 用 事先 安排 ，Alice 就 
能 把 消息 安全 地 发 送 给 Bob 。 整 个 交换 过 程 一 直 都 在 窃听 的 Eve， 即 使 
有 Bob 的 公开 密 钥 和 用 公开 密 钥 加 密 的 消息 ， 但 却 不 能 恢复 Bob 的 私人 
密 钥 或 者 传送 的 消息 。 








更 一 般 地 说 ， 网 络 中 的 用 户 约 定 一 个 公开 和 密 钥 密码 系统 ， 每 个 用 户 
有 上 自己 的 公开 密 钥 和 私人 密 钥 ， 并 且 公 开 密 钥 在 某 些 地 方 的 数据 库 中 都 
公开 的 ， 现 在 这 个 协议 束 更 容易 了 : 


(1) Alice 从 数据 库 中 得 到 Bob 的 公开 密 铀 。 
(2) Alice 用 Bob 的 公开 密 钥 加 密 消 息 ， 然 后 送 给 Bob。 
(3) Bob 用 自己 的 私人 密 钥 解密 Alice 发 送 的 消息 。 


在 第 一 个 协议 中 ， 在 Alice 给 Bob 发 送 消 妃 前 ，Bob 必 须 将 他 的 公开 
密 钥 传送 给 Alice; 而 第 二 个 协议 更 像 传统 的 邮件 方式 ， 直 到 Bob 想 读 他 
的 消 轧 时， 他 才 与 协议 有 牵连 。 


2.5.1 混合 密码 系统 


在 讨论 把 DES 算 法 作为 标准 的 同时 ， 公 开 了 第 一 个 公开 密 钥 算法 。 
这 导致 了 密码 学 团体 中 的 政治 和 洗 派 之 争 。 正 如 Diffie 在 文献 [494」 中 所 





公开 密 钥 密码 系统 在 大 众 和 科学 界 激 起 的 兴奋 与 密码 主管 部 门 的 冷 
淡 态 度 大 相 径 庭 。 就 在 公开 密 钥 密码 学 问世 的 当年 ，NSA 将 IBM 公 司 设 
计 的 传统 加 密 系 统 推荐 为 联邦 数据 加 密 标准 (DES) ，Marty Hellman 和 
我 以 该 系统 的 密 钥 太 短 为 由 对 该 建议 提出 了 批评 ， 但 产业 界 却 异常 积极 
地 支持 这 一 建议 。 在 大 众 看 来 ， 我 们 的 批评 似乎 是 为 了 阻碍 标准 制订 的 
进程 ， 吹 喊 自 己 的 科研 成 果 。 结 果 ， 公 开 和 密 钥 密码 学 反而 在 公开 文献 
[1125」 和 技术 论文 中 受到 责难 ， 好 像 它 不 是 一 项 研究 发 明 ， 而 是 一 种 





竞争 产品 。 可 是 ， 所 有 这 些 并 未 影响 NSA 在 此 发 明 上 的 演 名 钓 党 ， 该 局 
局 长 在 其 为 《大 英 百 科 全 书 》 MSU 撰写 的 有 关 条 目 中 指出 : “国家 安 
全 局 早 在 十 年 前 就 已 发 现 了 双 密 钥 的 密码 技术 。” 但 直至 今日 ， 有 关 这 
种 神话 的 证 据 仍 未 大 白 于 天 下 。 








在 现实 世界 中 ， 公 开 密 钥 算 法 不 会 代 葵 对 称 算法 。 公 开 密 钥 算 法 不 
用 来 加 密 消 妃 ， 而 用 来 加 密 密 钥 。 这 样 做 有 两 个 理由 : 





(1) 公开 密 钥 算法 比 对 称 算法 慢 ， 对 称 算 法 一 般 比 公开 密 钥 算法 
快 1000 倍 。 是 的 ， 计 算 机 变 得 越 来 越 快 ， 在 15 年 后 计算 机 运行 公开 窗 
密码 算法 的 速度 比 得 上 现在 计算 机 运行 对 称 密码 的 速度 。 但 是 ， 带 宽 需 
求 也 在 增加 ， 总 有 比 公 开 密 钥 密 码 处 理 更 快 的 加 密 数 据 要 求 。 


(2) 公开 密 钥 密码 系统 对 选择 明文 攻击 是 脆弱 的 。 如 采 
C=E (P) ， 当 P 是 n 个 可 能 明文 集中 的 一 个 明文 时 ， 蜜 码 分 析 者 只 需要 
加 密 所 有 n 个 可 能 的 明文 ， 并 能 与 C 比 较 结果 《〈 记 住 ， 加 密 密 钥 是 公开 
的 ) 。 用 这 种 方法 ， 他 不 可 能 恢复 解密 密 钥 ， 但 他 能 够 确定 P。 








如 果 持 有 少量 几 个 可 能 加 密 的 明文 消息 ， 那 么 采用 选择 明文 攻击 可 
能 特别 有 效 。 例 如 ， 如 果 P 是 比 100 万 美元 少 的 某 个 美元 值 ， 密 码 分 析 家 
尝试 所 有 100 万 个 可 能 的 美元 值 〈 可 能 的 加 密 解决 了 这 个 问题 ， 参 见 
23.157) 。 即 使 P 不 很 明确 ， 这 种 攻击 也 非常 有 效 。 只 是 知道 密 文 与 某 
个 特殊 的 明文 不 相符 ， 就 可 能 是 有 用 的 消 轧 。 对 称 密码 系统 不 易 受 这 种 





攻击 ， 因 为 密码 分 析 家 不 可 能 用 未 知 的 密 钥 来 完成 加 密 的 答 试 。 


在 大 多 数 实际 的 实现 中 ， 公 开 密 钥 密 码 用 来 保护 和 分 发 会 话 密 钥 
(session key) 。 这 些 会 话 密 钥 用 在 对 称 算法 中 ， 对 通信 消息 进行 保密 
L879」 。 有 时 称 这 种 系统 为 混合 密码 系统 (hybrid cryptosystem) 。 





(1) Bob 将 他 的 公开 密 钥 发 给 Alice。 


(2) Alice 产 生 随 机 会 话 密 钥 K， 用 Bob 的 公开 密 钥 加 密 ， 并 把 加 密 
的 密 钥 E8 (K) 送 给 Bob。 


(3) Bob 用 他 的 私人 密 钥 解密 Alice 的 消息 ， 恢 复出 会 话 密 钥 : Dp 
(Ep (K) ) =K. 


C4) 他 们 两 人 用 同一 个 会 话 密 钥 对 他 们 的 通信 消息 进行 加 密 。 


把 公开 密 钥 密码 用 于 密 钥 分 配 ， 解 决 了 很 重要 的 密 钥 管理 问题 。 对 
对 称 密 码 而 言 ， 数 据 加 密 密 钥 直到 使 用 时 才 起 作用 。 如 果 Eve 得 到 了 窗 
钥 ， 那 么 她 就 能 够 解密 用 这 个 密 钥 加 密 的 消息 。 在 前 面 的 协议 中 ， 当 需 
要 对 通信 加 密 时 ， 才 产生 会 话 密 铀 ， 不 再 需要 时 就 销毁 ， 这 极 大 地 减少 
了 会 话 密 钥 划 到 损害 的 风险 。 当 然 ， 私 人 密 钥 面 对 泄 露 是 脆弱 的 ， 但 风 
从 较 小 ， 因 为 只 有 每 次 对 通信 的 会 话 密 钥 加 密 时 才 用 它 。 这 在 3.1 节 将 
进一步 讨论 。 








2.5.2. ”Merkle 的 难题 


Ralph Merkle 发 明了 第 一 个 公开 密 钥 密码 的 设计 。1974 年 他 在 加 州 
大 学 伯克利 分 校注 册 了 由 Lance Hoffman 教 授 的 计算 机 安全 课程 。 在 这 
个 学 期 初 ， 他 的 学 期 论文 的 题目 是 处 理 “ 不 安全 信道 上 的 安全 通信 ”的 问 
题 【1064」 。Hoffman 不 理解 Merkle 的 建议 ， 最 终 Merkle 放 弃 了 这 门 课 
程 。 尽 管 连 遭 失败 让 人 们 难以 理解 其 结果 ， 但 他 仍 和 孜孜不倦 地 在 这 个 问 
题 上 工作 着 。 





Merkle 的 技术 基于 : 发 送 者 和 接收 者 解决 难题 (Puzzles) bk grat 
更 容易 。 下 面谈 谈 Alice 怎 样 不 用 首先 和 Bob 交 换 密 钥 束 能 把 加 密 消 息 发 
给 Bob。 





(1) Bob 产 生 22 或 大 约 一 百 万 个 这 种 形式 的 消息 :“ 这 是 难题 数 
x， 这 是 秘密 密 钥 数 y，” 其 中 x 是 随机 数 ，y 是 随机 的 秘密 密 钥 。 每 个 消 
奶 的 x 和 y 都 不 相同 。 采 用 对 称 算法 ， 他 用 不 同 的 20 位 密 钥 对 每 个 消息 加 
密 ， 并 都 及 给 Alice。 








(2) Alice 随 机 选择 一 个 消息 ， 通 过 和 穷 举 攻击 恢复 明文 。 这 个 工作 
量 很 大 ， 但 并 不 是 不 可 能 的 。 





(3) Alice 用 她 恢复 的 密 钥 和 一 些 对 称 算法 加 密 秘密 消息 ， 并 把 它 
和 x 一 起 发 给 Bob。 





(4) Bob 知道 他 用 于 对 消息 xz 加 蜜 的 秘密 密 铀 y， 这 样 他 就 能 解密 消 


cl 


Eve 能 够 破译 这 个 系统 ， 但 是 她 必须 做 比 Alice 和 Bob 多 得 多 的 工 
作 。 为 了 恢复 第 G) 步 的 消息 ， 她 必须 完成 对 Bob 在 第 (1) 步 中 的 所 
有 2 个 消息 的 穷 举 攻击 。 这 个 攻击 的 复杂 性 是 2 。x 的 值 不 会 对 Eve 有 
什么 帮助 。 他 们 在 第 (1) 步 中 是 随机 指定 的 。 一 般 情 况 下 ，Eve 人 花费 的 
努力 大 约 是 Alice 花 费 的 努力 的 平方 。 





按照 密码 的 标准 ，n 到 nm- 没有 什么 优势 ， 但 在 某 些 情况 下 ， 这 可 能 
EE (ZAR) 了 。 如 果 Alice 和 Bob 每 秒 可 试 1 万 个 ， 这 将 要 花 他 们 每 个 
人 1 分 钟 去 完成 他 们 的 步 又， 再 花 另 外 1 分 钟 在 1.544MB / s 链 路 上 完成 从 
Alice 到 Bob 的 通信 难题 。 如 有 果 Eve 有 同样 的 计算 设备 ， 破 译 这 个 系统 将 
花费 她 大 约 1 年 的 时 间 ， 其 他 算法 甚至 更 难 破译 。 





2.6 ”数字 签名 


在 文件 上 手写 签名 长 期 以 来 被 用 作 作者 身份 的 证 明 ， 或 至 少 同意 文 
件 的 内 容 。 签 名 为 什么 会 如 此 引 人 注 目 呢 【1392] ? 








C1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 
文件 上 签字 的 。 





(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 慎重 地 在 文 


件 上 签字 。 


(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ， 不 法 之 徒 不 可 能 将 签 
名 移 到 不 同 的 文件 上 。 


WY 


(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 


WY 


签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 。 签 名 者 事后 
不 能 声称 他 没有 签 过 名 。 


(5 





在 现实 生活 中 ， 关 于 签名 的 这 些 陈 述 没 有 一 个 是 完全 真实 的 。 签 名 
能 够 被 伪造 ， 人 签名 能 够 从 一 篇 文章 盗用 移 到 另 一 篇 文章 中 ， 文 件 在 签名 
后 能 够 被 改变 。 然 而 ， 我 们 之 所 以 愿意 与 这 些 问题 纠缠 在 一 起 ， 是 因为 
欺骗 是 困难 的 ， 并 且 还 要 冒 被 发 现 的 危险 。 











我 们 或 许愿 意 在 计算 机 上 做 这 种 事情 ， 但 还 存在 一 些 问题 。 首 先 计 
算 机 文件 易于 复制 ， 即 使 菜 人 的 签名 难以 伪造 例如， 手写 签名 的 图 
É) ， 但 是 从 一 个 文件 到 另 一 个 文件 筋 裁 和 粘贴 有 效 的 签名 都 是 很 容易 
的 。 这 种 签名 并 没有 什么 意义 ; 其 次 文件 在 签名 后 也 易于 修改 ， 并 且 不 
会 留 下 任何 修改 的 痕迹 。 














2.6.1 ”使 用 对 称 密码 系统 和 仲裁 者 对 文件 签名 


Alice 想 对 数字 消息 签名 ， 并 送 给 Bob。 在 Trent 和 对 称 密码 系统 的 帮 
助 下 ， 她 能 做 到 。 








Trent 是 一 个 有 权 的 、 值 得 依赖 的 仲裁 者 。 他 能 同时 与 Alice 和 
Bob《〈 也 可 以 是 其 他 想 对 数据 文件 签名 的 任何 人 ) 通信 。 他 和 Alice 共 至 
秘密 密 钥 KA ， 和 Bob 共 至 男 一 个 不 同 的 秘密 密 钥 Kp 。 这 些 密 钥 在 协议 
开始 前 就 早已 建 好 ， 并 且 为 了 多 次 签名 可 多 次 重复 使 用 。 


(1) Alice 用 KA 加 密 她 准备 发 送 给 Bob 的 消息 ， 并 把 它 传送 给 


Trent 。 
(2) Trent 用 KA 解密 消息 。 


(3) Trent 把 这 个 解密 消息 和 他 收 到 Alice 消 息 的 声明 ， 一 起 用 Kp 


(4) Trent 把 加 密 的 消息 包 发 送 给 Bob。 


(5) Bob 用 Ks 解密 消息 包 ， 他 就 能 读 Alice 所 发 的 消 轧 和 Trent 的 证 
书 ， 证 明 消 息 来 自 Alice。 


Trent 怎么 知道 消息 是 从 Alice 而 不 是 从 其 他 冒名 顶 蔡 者 那里 来 的 
We? 从 消息 的 加 密 推 新 出 来 。 由 于 只 有 他 和 Alice 共 享 他 们 两 人 的 秘密 密 
钥 ， 所 以 只 有 Alice 能 用 这 个 密 钥 加 密 消息 。 





这 和 与 纸 质 签名 一 样 好 吗 ? 来 看 看 我 们 需要 的 特点 : 





(1) 这 个 签名 是 可 信 的 。Trent 是 可 信 的 仲裁 者 ， 并 且 知 道 消 息 是 
从 Alice 那 里 来 的 ，Trent 的 证 书 对 Bob 起 着 证 明 的 作用 。 


(2) 这 个 签名 是 不 可 伪造 的 。 只 有 Alice〈 和 Trent， 但 每 个 人 都 相 
信人 他) 知道 KA ， 因 此 只 有 Alice 才 能 把 用 KA 加 密 的 消息 传 给 Trent。 如 
果 有 人 冒充 Alice，Trent 在 第 〈2) 步 马 上 就 会 察觉 ， 并 且 不 会 去 证 明 它 
的 可 靠 性 。 


(3) 这 个 签名 是 不 能 重新 使 用 的 。 如 果 Bob 想 把 Trent 的 证 书 附加 
到 另 一 个 消息 上 ，Alice 可 能 就 会 大 叫 受骗 了 。 仲 裁 者 《可 能 是 Trent， 
或 者 是 可 存 取 同一 消息 的 完全 不 同 的 仲裁 者 就 会 要 求 Bob 同 时 提供 消 
息 和 Alice 加 密 后 的 消息 ke ene 
现 它 与 Bob 提 供 的 加 密 消息 不 相同 。 很 显然 ， 由 于 Bob 不 知道 KA4， 所 以 











他 不 可 能 提供 加 窗 消 息 使 它 与 用 KA 加 和 密 的 消息 相同 。 


(4) 签名 文件 是 不 能 改变 的 。Bob 在 接收 后 尝试 改变 文件 ，Trent 
就 可 用 刚才 描述 的 同样 办 法 证 明 Bob 的 是 大 行 为 。 


(5) 签名 是 不 能 抵赖 的 。 即 使 Alice 以 后 声称 她 没有 发 消息 给 
Bob， 但 Trent 的 证 书 会 说 明 不 是 这 样 。 记 住 ，Trent 是 每 个 人 都 信任 的 ， 
他 说 的 都 是 正确 的 。 


如 果 Bob 想 把 Alice 签 名 的 文件 给 Carol 疝 读 ， 他 不 能 把 自己 的 秘密 密 


钥 交 给 她 ， 他 还 得 通过 Trent: 





(1) Bob 把 消息 和 Trent 关 于 消息 是 来 自 Alice 的 声明 用 Kp 加 密 ， 然 
后 送 回 给 Trent。 





(2) Trent 用 Kp 解密 消息 包 。 


(3) Trent 检查 他 的 数据 库 ， 并 确认 原始 消息 是 从 Alice 那 里 来 的 。 





(4) Trent 用 他 和 Carol 共 享 的 密 钥 Ke BPA, FER 


Carol。 


(5) Carol 用 Kc 解密 消息 包 ， 她 就 能 阅读 消 恕 和 Trent 证 实 消 乱 来 
自 Alice 的 证 书 。 








这 些 协议 是 可 行 的 ， 但 对 Trent 来 说 非常 耗 时 。 他 不 得 不 整 天 加 密 、 


解密 消息 ， 在 彼此 想 发 送 签名 文件 的 每 一 对 人 之 间 充 当中 间 人 。 他 必须 
备 有 消息 数据 库 〈 虽 然 可 以 通过 把 发 送 者 加 密 的 消息 副本 发 送 给 接收 者 
来 避免 ) 。 在 任何 通信 系统 中 ， 即 使 他 是 毫 无 思想 的 软件 程序 ， 它 都 是 
通信 的 瓶颈 。 





更 困难 的 是 产生 和 保持 像 Trent 那 样 的 网 络 用 户 都 信任 的 人 。Trent 
必须 是 完美 无 缺 的 ， 即 使 他 在 100 万 次 签名 中 只 犯 了 一 个 错误 ， 也 将 不 
会 有 人 再 信任 他 。Trent 必 须 是 完全 安全 的 ， 如 果 他 的 秘密 密 钥 数据 库 汇 
露 了 ,或 者 有 人 能 修改 他 的 程序 代码 ， 那 么 所 有 人 的 签名 都 可 能 变 得 完 
全 无 用 。 一 些 声称 是 数 年 前 签名 的 假 文件 便 可 能 出 现 ， 这 将 引起 混乱 ， 
政府 可 能 倒台 ， 混 乱 状 态 可 能 盛行 。 理 论 上 这 种 协议 或 许 是 可 行 的 ， 但 
实际 上 不 能 很 好 运转 。 








2.6.2 ”数字 签名 树 





Palph Merkle 提 出 了 一 个 基于 秘密 密 钥 密码 的 数字 签名 方案 ， 该 方 
案 利用 树 形 结构 产生 无 限 多 的 一 次 签名 11067 1068」 。 这 个 方案 的 基本 
思想 是 在 东 些 公开 文档 中 放 入 树 的 根 文件 ， 从 而 鉴别 它 。 根 结 点 对 一 个 
消息 签名 ， 并 鉴别 树 中 的 子 结 皮 ， 这 些 结 皮 的 每 一 个 都 对 消息 签名 ， 并 
对 它 的 子 结 反 鉴别 ， 一 直 延 续 下 去 。 








2.6.3 ”使 用 公开 密 钥 密码 系统 对 文件 签名 





有 几 种 公开 密 钥 算法 能 用 做 数字 签名 。 在 某 些 算法 中 ， 例 如 
RSA“〈 人 参见 19.3 节 ) ， 公 开 密 钥 或 私人 密 钥 都 可 用 做 加 密 。 用 你 的 私人 
密 钥 加 密 文 件 ， 你 就 拥有 安全 的 数字 签名 。 在 其 他 情况 下 ， 如 DSA ( 参 
见 20.1 节 ) ， 算 法 便 区 分 开 来 了 一 一 数字 签名 算法 不 能 用 于 加 密 。 这 种 
思想 首先 由 Diffie 和 Hellman “495 提出， 并且 在 其 他 文章 中 得 到 进一步 
的 发 展 (1282. 1382, 1024, 1283, 426] 。 文 献 [1099] 对 这 个 领域 做 了 很 好 
的 综述 。 


基本 协议 很 简单 : 
(1) Alice 用 她 的 私人 密 钥 对 文件 加 密 ， 从 而 对 文件 签名 。 
(2) Alice 将 签名 的 文件 传 给 Bob。 


(3) Bob 用 Alice 的 公开 密 钥 解密 文件 ， 从 而 验证 签名 。 





这 个 协议 比 以 前 的 算法 更 好 。 不 需要 Trent 去 签名 和 验证 。 他 只 需要 
证 明 Alice 的 公开 密 钥 的 确 是 她 的 。 甚 至 协议 的 双方 不 需要 Trent 来 解决 
争端 : 如 果 Bob 不 能 完成 第 B) 步 ， 那 么 他 知道 签名 是 无 效 的 。 


这 个 协议 也 满足 我 们 期 竺 的 特征 : 


(1) 签名 是 可 信 的 。 当 Bob 用 Alice 的 公开 密 钥 验证 消息 时 ， 他 知 
道 是 由 Alice 签 名 的 。 


(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知 道 她 的 私人 密 钥 。 


(3 


WY 


签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ， 并 且 不 可 能 转换 成 
为 外 的 六 人 


(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ， 文 件 就 
不 可 能 用 Alice 的 公开 密 钥 验证 。 


(5) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签 
名 。 


2.6.4 文件 签名 和 时 间 标 记 


实际 上 ，Bob 在 东 些 情况 下 可 以 坎 驴 Alice。 他 可 能 把 签名 和 文件 一 
起 重用 。 如 果 Alice 在 合同 上 签名 ， 这 种 重用 不 会 有 什么 问题 。 但 如 宋 
Alice 在 一 张 数字 文 票 上 签名 ， 那 么 这 样 做 就 令 人 兴奋 了 。 


假 耕 Alice 交 给 Bob 一 张 100 美 元 的 签名 数字 支票 ，Bob 把 支票 拿 到 银 
行 去 验证 签名 ， 然 后 把 钱 从 Alice 的 账户 转 到 自己 的 账户 。Bob 是 一 个 无 
耻 之 徒 ， 他 保存 了 数字 支票 的 副本 。 过 了 一 星期 ， 他 又 把 数字 支票 拿 到 
银行 〈 或 者 可 能 是 另 一 家 银行 ) ， 银 行 验证 数字 支票 并 把 钱 转 到 他 的 账 
户 。 只 要 Alice 不 对 文系 本 清 账 ，Bob 就 可 以 一 直 干 下 去 。 





因此 ， 数 字 签 名 经 党 包括 时 间 标 记 。 对 日 期 和 时 间 的 签名 附 在 消 奶 





中 ， 并 与 消 妃 中 的 其 他 部 分 一 起 签名 。 银 行将 时 间 标 记 存 储 在 数据 库 

中 。 现 在 ， 当 Bob 第 二 次 想 文 取 Alice 的 支票 时 ， 银 行 就 要 检查 时 间 标 记 
是 否 和 数据 库 中 的 一 样 。 由 于 银行 己 经 从 Alice 的 文 紧 上 文 付 了 这 一 时 间 
标记 的 文 票 ， 于 是 就 叫 警察 。 这 样 一 来 ，Bob 就 要 在 Leavenworth 监 狱 中 
度 过 15 个 春秋 去 研读 密码 协议 的 书籍 了 。 











2.6.5 ”使 用 公开 密 钥 密码 系统 和 单 问 散 列 函数 对 文件 签名 


在 实际 的 实现 过 程 中 ， 采 用 公开 密 钥 密码 算法 对 长 文件 签名 效率 太 
低 。 为 了 节约 时 间 ， 数 字 签 名 协议 经 常 和 单 向 散 列 函数 一 起 使 用 。Alice 
并 不 对 整个 文件 签名 ， 只 对 文件 的 散 列 值 签名 。 在 这 个 协议 中 ， 单 器 散 
列 函 数 和 数字 签名 算法 是 事先 协商 好 的 。 





(1) Alice 产 生 文 件 的 单 癌 散 列 值 。 
(2) Alice 用 她 的 私人 密 钥 对 散 列 值 加 密 ， 由 此 对 文件 签名 。 
(3) Alice 将 文件 和 签名 的 散 列 值 送 给 Bob。 


(4) Bob 用 Alice 发 送 的 文件 产生 文件 的 单 向 散 列 值 ， 然 后 用 数字 
签名 算法 对 散 列 值 进行 运算 ， 同 时 用 Alice 的 公开 密 钥 对 签名 的 散 列 值 解 
密 。 如 果 签 名 的 散 列 值 与 目 己 产生 的 散 列 值 匹配 ， 签 名 就 是 有 效 的 。 





计算 速度 大 大 地 提高 了 ， 因 为 两 个 不 同文 件 有 相同 的 160 位 散 列 值 


的 概率 为 1 / 2 ， 所 以 使 用 散 列 函数 的 签名 和 文件 签名 一 样 安全 。 如 
果 使 用 非 蛙 向 散 列 函数 ， 就 可 能 很 容易 产生 多 个 文件 的 散 列 值 相同 ， 这 
样 对 特定 的 文件 签名 就 可 复制 用 于 对 大 量 的 文件 签名 。 


这 个 协议 还 有 其 他 好 处 。 首 先 ， 签 名 和 文件 可 以 分 开 保存 。 其 次 ， 
接收 者 对 文件 和 签名 的 存储 量 要 求 大 大 降低 了 。 档 案 系 统 可 用 这 类 协议 
来 验证 文件 的 存在 而 无 需 保 存 它们 的 内 容 。 中 央 数 据 库 只 需 存储 各 个 文 
件 的 散 列 值 ， 根 本 不 需要 看 文件 。 用 户 将 文件 的 散 列 值 传 给 数据 库 ， 然 
后 数据 库 对 提交 的 文件 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 某 文 件 的 
存在 发 生 和 争执 ， 数 据 库 可 通过 找到 文件 的 散 列 值 来 解决 争端 。 这 里 可 能 
牵连 到 大 量 的 隐秘 : Alice 可 能 有 杂文 件 的 版 权 ， 但 仍 保持 文件 的 秘密 。 
只 有 当 她 想 证 明 她 的 版 权时 ， 她 才 不 得 不 把 文件 公开 《参见 4.1 节 ) 。 














2.6.6 看 法 和 术语 


还 有 许多 种 数字 签名 算法 ， 它 们 都 是 公开 密 钥 算法 ， 用 秘密 消 轧 对 
文件 签名 ， 用 公开 消 姑 去 验证 签名 。 有 时 签名 过 程 也 叫做 “用 私人 密 钥 
加 密 ”， 验 证 过 程 也 叫做 “用 公开 和 密 钥 解密 ”?， 这 会 使 人 误解 ， 并 且 只 对 
RSA 这 个 算法 而 言 才 是 这 样 ， 而 不 同 的 算法 有 不 同 的 实现 ， 例 如 ， 有 时 
使 用 单 问 散 列 函数 和 时 间 标 记 对 签名 和 验证 过 程 进行 处 理 需要 增加 额外 
的 步骤 。 许 多 算法 可 用 做 数字 签名 ， 但 不 能 用 做 加 密 。 








一 般 地 ， 提 到 签名 和 验证 过 程 通常 不 包括 任何 算法 的 细节 。 用 私人 
密 钥 K 对 消息 进行 签名 可 表示 为 Sk (M) ， 用 相应 的 公开 密 钥 验证 消息 
可 表示 为 Vk M) 。 





在 签名 时 ， 附 在 文件 上 的 位 串 (在 上 面 的 例子 中 ， 用 私人 密 钥 对 文 
件 的 单 问 散 列 值 加 密 ) 叫做 数字 位 名 (digital signature) , RESA 
(signature) 。 消 息 的 接收 者 用 以 确认 发 送 者 映 份 和 消息 完整 性 的 整个 
协议 叫做 鉴别 。 这 些 协议 进一步 的 细节 将 在 3.2 节 中 讨论 。 


2.6.7 “多重 签名 


Alice 和 Bob 怎 么 对 同一 个 数字 文件 签名 呢 ? 不 用 单 同 散 列 函数 ， 有 
两 种 选择 : 第 一 种 选择 是 Alice 和 Bob 分 别 对 文件 的 副本 签名 ， 结 果 签 名 
的 消息 是 原文 的 两 倍 ;， 第 二 种 就 是 Alice 首 先 签名 ， 然 后 Bob 对 Alice 的 签 
名 再 进行 签名 。 这 是 可 行 的 ， 但 是 在 不 验证 Bob 签 名 的 情况 下 就 验证 
Alice 的 签名 是 不 可 能 的 。 








CFA A] BUY PAB, RAE So SEN HAE 


(1) Alice 对 文件 的 散 列 签名 。 


(2) Bob 对 文件 的 散 列 签名 。 


(3) Bob 将 他 的 签名 交 给 Alice。 


(4) Alice 把 文件 、 她 的 签名 和 Bob 的 签名 发 给 Carol。 


(5) Carol 验 证 Alice 和 Bob 的 签名 。 





Alice 和 Bob 能 同时 或 顺序 地 完成 第 (1) 步 和 第 (2) 步 ; 在 第 
(5) 步 中 Carol 可 以 只 验证 其 中 一 人 的 签名 而 不 用 验证 另 一 人 的 签名 。 


2.6.8 抗 抵 赖 和 数字 签名 


Alice 有 可 能 用 数字 签名 进行 其 晤 ， 并 且 无 人 能 阻止 她 。 她 可 能 对 文 
件 签名 ， 然 后 声称 并 没有 那样 做 。 首 先 ， 她 按 常规 对 文件 签名 ， 然 后 她 
以 匿名 的 形式 发 布 她 的 私人 密 钥 ， 故 意 把 私人 密 钥 丢失 在 公共 场所 ， 或 
者 只 要 假装 做 上 面 两 者 中 的 一 个 。 这 样 ， 有 发现 该 私人 密 钥 的 任何 人 都 可 
伪装 成 Alice 对 文件 签名 。 于 是 Alice 就 声明 她 的 签名 受到 侵害 ， 其 他 人 
正在 假装 她 签名 等 。 她 否认 对 文件 的 签名 和 任何 其 他 的 用 她 的 私人 密 角 
签名 的 文件 ， 这 叫做 抵赖 (repudiation〉。 





采用 时 间 标记 可 以 限制 这 种 坎 骗 的 作用 ， 但 Alice 总 可 以 声称 她 的 密 
钥 在 较 早 的 时 候 就 丢失 了 。 如 果 Alice 把 事情 做 得 好 ， 她 可 以 对 文件 答 
名 ， 然 后 成 功 地 声称 并 没有 对 文件 签名 。 这 就 是 为 什么 我 们 经 常 听 到 把 
私人 密 钥 隐藏 在 防 拆 模块 中 的 原因 ， 这 样 Alice 就 不 可 能 得 到 和 乱用 私人 
密 钥 了 。 





里 然 没 有 办 法 阻止 这 种 可 能 的 乱用 ， 但 可 以 采取 措施 保证 旧 的 签名 
不 会 失效 《例如 ，Alice 可 能 有 意 丢 失 她 的 密 钥 ， 以 便 不 用 对 昨天 从 Bob 
那里 买 的 旧 车 付 账 ， 在 这 个 过 程 中 ，Alice 使 她 的 银行 账户 无 效 ) 。 数 字 
签名 文件 的 接收 者 持 有 签名 的 时 间 标记 就 能 解决 这 个 问题 “434 。 





文献 L28] 中 给 出 了 通用 协议 : 


(1) Alice 对 消息 签名 。 


(2) Alice 产 生 一 个 报头 ， 报 头 中 包含 有 些 鉴 别 消 轧 。 她 把 报头 和 
签名 的 消息 连接 起 来 ， 对 连接 的 消 轧 签名 ， 然 后 把 签名 的 消 恩 用 给 


Trent. 








(3) Trent 验证 外 面 的 签名 ， 并 确认 鉴别 消息 。 他 在 Alice 签 名 消息 
中 增加 一 个 时 间 标 记 和 鉴别 消息 。 然 后 对 所 有 的 消息 签名 ， 并 把 它 发 给 
Bob 和 Alice。 





(4) Bob 验 证 Trent 的 签名 、 鉴 别 消息 和 Alice 的 签名 。 


(5) Alice 验 证 Trent 发 给 Bob 的 消息 。 如 果 她 没有 发 起 这 个 消息 ， 
她 很 快 就 会 大 喊 大 叫 了 。 











另 一 个 方案 是 在 事后 有 劳 Trent [209」 。Bob 在 接收 签名 消息 后 ， 他 
可 能 把 副本 发 给 Trent 验证 ，Trent 能 够 证 实 Alice 签 名 的 有 效 性 。 





2.6.9 ”数字 签名 的 应 用 





数字 签名 最 早 的 应 用 之 一 是 用 来 对 禁止 核 试验 条 约 的 验证 “1454、 
1467] 。 美 国 和 苏联 互相 允许 把 地 震 测试 仪 放 入 另 一 个 国家 中 ， 以 便 对 
核 试 验 进 行 监控 。 问 题 是 每 个 国家 需要 确信 东道 国 没有 窜改 从 监控 国家 
的 地 宕 仪 传 来 的 数据 。 同 时 ， 东 违 主 国家 需要 确信 监控 絮 只 友 送 需要 监 
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传统 的 鉴别 技术 能 解决 第 一 个 问题 ， 但 只 有 数字 签名 能 同时 解决 两 
个 问题 。 东 道 国 一 方 只 能 读 ， 但 不 能 窜改 从 地 翌 测 试 仪 来 的 数据 ， 而 监 
控 国 确信 数据 没有 被 窜改 。 





2.7 ”各 加 密 的 数学 签 


通过 把 公开 密 钥 密码 和 数字 签名 结合 起 来 ， 能 够 产生 一 个 协议 ， 可 
把 数字 签名 的 真实 性 和 加 密 的 安全 性 合 起 来 。 想 象 你 妈妈 写 的 一 封 信 : 
签名 提供 了 原作 者 的 证 明 ， 而 信封 提供 了 秘密 性 。 





(1) Ailce 用 她 的 私人 密 钥 对 消息 签名 : S (MD 。 


(2) Alice 用 Bob 的 公开 密 钥 对 签名 的 消息 加 密 ， 然 后 发 送 给 Bob: 
E (Sa (M) ) 。 


(3) Bob 用 他 的 私人 密 钥 解 密 : Dp (Ep (SA M) ) ) =SA 
(M) 。 


(4) Bob 用 Alice 的 公开 密 钥 验证 并 且 恢 复 消 息 : VA (Sa M) ) 





加 密 前 签名 是 很 自然 的 。 当 Alice 写 一 封 信 时 ， 她 在 信 中 签名 ， 然 后 
把 信 装 入 信封 中 。 如 果 她 把 没 签名 的 信 放 入 信封 ， 然 后 在 信封 上 签名 ， 
那么 Bob 可 能 会 担心 这 封 信和 是 否 被 普 换 了 。 如 果 Bob 把 Alice 的 信和 信和 雪 
给 Carol 看 ，Carol 可 能 因 信 没 闭 对 信封 而 控告 Bob 说 度 。 








在 电子 通信 中 也 是 这 样 ， 加 密 前 签名 是 一 种 谨慎 的 习惯 做 法 [431 


。 这 样 做 不 仅 更 安全 (敌人 不 可 能 从 加 密 消 息 中 把 签名 移 走 ， 然 后 加 上 
他 目 己 的 签名 ) ， 而 且 还 有 法 律 的 考虑 : 当 他 附加 他 的 签名 时 ， 如 果 签 
名 者 不 能 见 到 被 签名 的 文本 ， 那 么 签名 没有 多 少 法 律 强制 作用 (1812! 
。 有 一 些 针对 RSA 签 名 技术 的 密码 分 析 攻 击 〈 参 见 19.3 节 ) 。 





Alice 没 有 理由 必须 把 同一 个 公开 密 钥 / 私人 密 钥 对 用 作 加 密 和 签 
名 。 她 可 以 有 两 个 密 钥 对 : 一 个 用 作 加 密 ， 为 一 个 用 作 和 解密。 分 开 使 用 
有 它 的 好 处 ， 她 能 够 把 加 密 密 钥 交 给 警察 而 不 泄露 她 的 签名 ， 一 个 密 钥 
被 托管 (参见 4.13 市 ) 不 会 影响 到 其 他 密 钥 ， 并 且 密 钥 能 够 有 不 同 的 长 
度 ， 能 够 在 不 同 的 时 间 终 止 使 用 。 


当然 ， 这 个 协议 应 该 用 时 间 标 记 来 阻止 消 妃 的 重复 使 用 。 时 间 标 记 
也 能 阻止 其 他 潜在 的 危险 ， 例 如 下 面 描述 的 这 种 情形 。 
2.7.1 重新 发 送 消 息 作 为 收据 

我 们 来 考 碟 这 个 协议 附带 确认 消息 的 实现 情形 : 每 当 Bob 接 收 到 消 
县 后 ， 他 再 把 它 传 送 回 发 送 者 作为 接收 确认 。 


(1) Alice 用 她 的 私人 密 钥 对 消息 签名 ， 再 用 Bob 的 公开 密 钥 加 


(2) Bob 用 他 的 私人 密 钥 对 消 妃 解密 ， 并 用 Alice 的 公开 密 钥 验证 








签名 ， 由 此 验证 确实 是 Alice 对 消息 签名 ， 并 恢复 消息 : Vg (Dp (Ep 


(Sa M) ) ) ) =M 


(3) Bob 用 他 的 私人 密 钥 对 消息 签名 ， 用 Alice 的 公开 密 钥 加 密 ， 
再 把 它 发 送 回 Alice: Ea (Sp (M) ) 。 


(4) Alice 用 她 的 私人 密 钥 对 消 妃 解密 ， 并 用 Bob 的 公开 密 钥 对 验 
证 Bob 的 签名 。 如 果 接 收 的 消 归 与 她 传 给 Bob 的 相同 ， 她 束 知 道 Bob 准 确 
地 接收 到 了 她 所 发 送 的 消息 。 





如 果 同 一 个 算法 既 用 做 加 密 又 用 做 数字 签名 ， 就 有 可 能 受到 攻击 
L506] 。 在 这 些 情 况 中 ， 数 字 签 名 操作 是 加 密 操作 的 逆 过 程 ， Vx =Ex 
， 并 且 Sx =Dx o 


假设 Mallory 是 持 有 自己 公开 密 钥 和 私人 密 钥 的 系统 合法 用 户 。 让 
我 们 看 看 他 怎么 读 Bob 的 邮件 。 首 先 他 将 Alice 在 〈1) 中 发 送 给 Bob 的 消 
息 记 录 下 来 ， 在 以 后 的 某 个 时 间 ， 他 将 那个 消息 发 送 给 Bob， 声 称 消 息 
是 从 Mallory 来 的 。Bob 认 为 是 从 Mallory 来 的 合法 消息 ， 于 是 就 用 私人 密 
钥 解密 ， 然 后 用 Mallory 的 公开 密 钥 解密 来 验证 Mallory 的 签名 ， 那 么 得 
到 的 消息 纯粹 是 乱七八糟 的 消息 : 





Ey (Dg (Eg Da M) ) ) ) =Ey (Da M) ) 


即使 这 样 ，Bob 继 续 执 行 协议 ， 并 且 将 收据 发 送 给 Mallory: 


Ey (Dg (Ey (Da M) ) ) ) 


现在 Mallory 所 要 做 的 就 是 用 他 的 私人 密 钥 对 消息 解密 ， 用 Bob 的 公 
开 密 钥 加 密 ， 再 用 上 自己 的 私人 密 钥 解密 ， 并 用 Alice 的 公开 密 钥 加 密 。 


Ie! Mallory 就 获得 了 所 要 的 消 轧 M。 


认为 Bob 会 目 动 回 送 给 Mallory 一 个 收据 不 是 不 合理 的 。 例 如 ， 这 个 
协议 可 能 租 入 在 通信 软件 中 ， 并 且 在 接收 后 自动 发 送 收 据 。 收 到 乱 七 八 
糟 的 东西 也 送出 确认 收据 会 导致 不 安全 性 。 如 果 在 发 送 收 据 前 仔细 地 检 


查 消 息 是 售 能 理解 ， 就 能 避免 这 个 安全 问题 。 





还 有 一 种 更 强 的 攻击 ， 就 是 允许 Mallory 送 给 Bob 一 个 与 穷 听 的 消息 
不 同 的 消 轧 。 不 要 对 从 其 他 人 那里 来 的 消息 随便 签名 并 将 结果 交 给 其 他 
Keo 





2.7.2 阻 上 小 重新 发 送 攻 击 





由 于 加 密 运 算 与 签名 /验证 运算 相同 ， 同 时 解密 运算 又 与 签名 运算 
相同 ， 因 此 上 述 攻击 才 和 奏效。 安全 的 协议 应 该 是 加 密 和 数字 签名 操作 稍 
微 不 同 ， 每 次 操作 使 用 不 同 的 密 钥 即 可 做 到 这 一 点 ;每 次 操作 使 用 不 同 
的 算法 也 能 做 到 ; 采用 时 间 标记 也 能 做 到 ， 它 使 输入 的 消 息 和 输出 的 消 
BAE; 用 单身 散 列 函数 的 数字 签名 也 能 解决 这 个 问题 (参见 2.6 


ee 





一 般 说 来 ， 下 面 这 个 协议 非常 安全 ， 它 使 用 的 是 公开 密 钥 算 法 : 


(1) Alice 对 消息 签名 。 


(2) Alice 用 Bob 的 公开 密 钥 对 消 明和 签名 加 密 (采用 和 签名 算法 
不 同 的 加 密 算法 ) ， 然 后 将 它 传送 给 Bob。 


(3) Bob 用 他 的 私人 和 密 钥 对 消 居 解密 。 


(4) Bob 验 证 Alice 的 签名 。 





2.7.3 ”对 公开 密 钥 密码 系统 的 攻击 


在 所 有 公开 密 钥 密码 协议 中 ， 回 避 了 Alice 怎 么 得 到 Bob 的 公开 密 钥 
这 件 事 。3.1 节 将 更 详细 地 讨论 ， 但 在 这 里 值得 提 及 。 





得 到 茶 人 公开 密 钥 的 最 容易 方法 是 从 东 个 地 方 的 安全 数据 库 中 得 
到 。 这 个 数据 库 必 须 是 公开 的 ， 以 便 任 何人 都 可 得 到 其 他 人 的 公开 密 
钥 。 数 据 库 也 必须 阻止 Trent 以 外 的 其 他 人 写 入 数据 ， 人 否则 Mallory 可 能 
用 他 选取 的 任意 一 个 公开 密 钥 代 些 Bob 的 公开 密 钥 。 那 样 做 后 ，Bob 就 
不 能 读 取 别 人 发 给 他 的 消 轧 ， 但 Mallory 却 能 读 。 





即使 公开 密 钥 存储 在 安全 数据 库 中 ，Mallory 仍 能 在 传送 期 间 用 力 
外 的 公开 密 钥 来 代 丛 它 。 为 了 防止 这 个 问题 ，Trent 可 用 他 的 私人 密 钥 对 


每 个 公开 密 钥 进行 签名 。 当 用 这 种 方式 时 ，Trent 常 称 为 密 钥 鉴定 机 关 

(Key Certification Authority) 或 密 钥 分 配 中 心 (Key Distribution 
Center, KDC) 。 在 实际 实现 中 ，KDC 对 由 用 户 名 、 公 开 密 钥 和 其 他 用 
户 的 重要 消息 组 成 的 一 组 消息 进行 签名 。 被 签名 的 这 组 消息 存储 在 KDC 
数据 库 中 。 当 Alice 得 到 Bob 的 密 钥 时 ， 她 验证 KDC 的 签名 以 确认 密 钥 的 
有 效 性 。 








即使 采用 了 上 述 措 施 ， 对 Mallory 来 说 进行 攻击 也 并 不 是 不 可 能 
的 ， 只 不 过 增加 了 困难 。Alice 仍 将 KDC 的 公开 密 钥 存储 在 东 个 地 方 ， 
Mallory 只 得 用 目 己 的 公开 密 钥 代 丛 那个 密 钥 ， 破 坏 数据 库 ， 然 后 用 目 
己 的 密 钥 代替 有 效 密 铀 〈 好 像 他 束 是 KEDC 一 样 ， 用 目 己 的 私人 密 钥 对 所 
有 密 钥 签名 ) ， 再 进行 运算 。 如 果 Mallory 要 制造 更 多 的 麻烦 ， 他 甚至 
连 文件 签名 都 可 以 伪造 。 密 钥 交 换 将 在 3.1 节 详细 讨论 。 





2.8 随机 和 伪 随 机 序列 的 产生 


为 什么 在 一 本 关于 密码 学 的 书 中 要 不 厌 其 烦 地 谈论 随机 数 产 生 呢 ? 
随机 数 有 发生 器 已 蔡 入 在 大 多 数 编译 咒 中 了 ， 产 生 随 机 数 仪 仅 是 函数 调用 
而 已 。 为 什么 不 用 这 种 编译 器 呢 ? 不 笠 的 是 ， 这 种 随机 数 发 生 器 对 密码 
来 说 几乎 肯定 是 不 安全 的 ， 甚 至 可 能 不 是 很 随机 的 。 它 们 中 的 大 多 数 都 
征 非常 过 的 随机 数 。 








随机 数 发 生 器 并 不 是 完全 随机 的 ， 因 为 它们 不 必要 这 样 。 像 计算 机 
游戏 ， 大 多 数 简 单 应 用 中 只 需 几 个 随机 数 ， 几 乎 无 人 注意 到 它们 。 然 而 
密码 学 对 随机 数 发 生 需 的 性 质 是 极其 敏感 的 。 用 粗 筋 的 随机 数 有 发 生 需 ， 
你 会 得 到 毫 不 相干 和 奇怪 的 结果 “1231、1238」 。 如 果 安 全 性 依赖 于 随机 
数 发 生 器 ， 那 么 你 最 后 得 到 的 东西 束 是 这 种 罕 不 相干 和 奇怪 的 结 




















随机 数 发 生 器 不 能 产生 随机 序列 ， 它 甚至 可 能 产生 不 了 乍 看 起 来 像 
随机 序列 的 数 。 当 然 ， 在 计算 机 上 不 可 能 产生 真正 的 随机 数 。Donald 
Knuth 引 用 冯 : 话 依 曼 的 话 :“ 任 何人 考虑 用 数学 的 方法 产生 随机 数 肯 定 
古 不 合 情 理 的 。” 计 算 机 的 确 是 怪兽 : 数据 从 一 端 进入 ， 在 内 部 经 过 完 
全 可 预测 的 操作 ， 从 男 一 端 出 来 的 却 是 不 同 的 数据 ， 把 同一 个 数据 在 不 
相干 情况 下 输入 进去 ， 两 次 出 来 的 数据 是 相同 的 ， 把 同样 的 数据 送 入 相 
同 的 两 个 计算 机 ， 它 们 的 运算 结果 是 相同 的 。 计 算 机 只 能 是 一 个 有 限 的 








状态 数 《〈“ 一 个 大 数 ， 但 无 论 如 何 是 有 限 的 ) ， 并 且 输 出 状态 总 是 过 去 的 
输入 和 计算 机 的 当前 状态 确定 的 函数 。 这 就 是 说 ， 计 算 机 中 的 随机 序列 
发 生 器 至少， 在 有 限 状 态 机 中 〉 是 周期 性 的 ， 任 何 周 期 性 的 东西 都 是 
可 预测 的 。 如 果 是 可 预测 的 ， 那 么 它 就 不 可 能 是 随机 的 。 真 正 的 随机 序 
列 发 生 器 需要 随机 和 输入， 计算 机 不 可 能 提供 这 种 随机 输入 。 





2.8.1 伪 随 机 序列 


最 好 的 计算 机 能 产生 的 是 伪 随 机 序列 发生 器 (pseudo-random- 
sequence generator) 。 什 么 意思 呢 ? 许多 人 试图 形式 化 地 定义 它 ， 但 我 
不 赞成 ， 伪 随机 数 序列 看 起 来 是 随机 的 序列 ， 序 列 的 周期 应 足够 长 ， 使 
得 实际 应 用 中 相当 长 的 有 限 序列 都 不 是 周期 性 的 。 就 是 说 ， 如 果 你 需要 
10 亿 个 随机 位 ， 就 不 要 选择 仅 在 16000 位 后 就 重复 的 序列 发 生 器 。 这 些 
相对 短 的 非 周期 性 的 子 序 列 应 尽 可 能 和 随机 序列 没有 多 少 区 别 。 例 如 ， 
它们 应 该 有 大 约 相 同 数目 的 0 和 1， 长 度 为 1 的 游程 大 约 占 一 半 《 相 同位 
序列 ) ， 长 度 为 2 的 游程 占 1 / 4， 长 度 为 3 的 游程 占 1 / 8 等 。 它 们 应 该 是 
不 可 压缩 的 ，0 和 1 游程 的 分 布 应 该 是 相同 的 【643、863、99、 1357] 。 这 些 
性 质 根据 实验 测 得 ， 然 后 用 chi-square 检 验 与 统计 期 望 值 比较 得 来 。 




















为 了 我 们 的 目的 ， 如 有 果 序 列 发 生 右 是 伪 随 机 的 ， 它 应 该 有 下 面 的 性 
质 : 


-看 起 来 是 随机 的 ， 这 表明 它 能 通过 我 们 所 能 找到 的 所 有 随机 性 统 
计 检 验 〈 从 [863」 中 的 检验 开始 》 


人 们 在 计算 机 上 已 经 做 了 许多 努力 来 产生 好 的 伪 随 机 序列 ， 学 术 文 
献 中 有 很 多 是 讨论 伪 随 机 序列 发 生 器 和 各 种 随机 性 检验 的 ， 但 所 有 这 些 
发 生 器 都 是 周期 性 的 〈 无 一 例外 ) 。 然 而 周期 大 于 229 位 的 随机 数 序 
列 ， 就 能 大 量 应 用 。 








这 里 的 关键 问题 还 是 那些 室 不 相干 和 奇怪 的 结果 。 如 果 你 以 茶 种 方 
式 使 用 它们 ， 则 每 个 随机 数 序列 发 生 吕 都 将 产生 这 些 结果 。 这 正 是 为 什 
么 密码 分 析 者 用 它 来 对 系统 进行 攻击 的 原因 。 


2.8.2 ”密码 学 意义 上 安全 的 伪 随 机 序列 


密码 的 应 用 比 其 他 大 多 数 应 用 对 伪 随 机 序列 的 要 求 更 严格 。 密 码 学 
的 随机 性 并 不 仅仅 意味 着 统计 的 随机 性 ， 虽 然 它 也 是 其 中 的 一 部 分 。 乱 
码 学 意义 上 安全 的 伤 随机 序列 (cryptographically secure pseudo-random 
sequence) 还 必须 具有 下 面 的 性 质 : 





它 是 不 可 预测 的 。 即 使 给 出 产生 序列 的 算法 或 硬件 和 所 有 以 前 产 
生 的 位 序列 的 全 部 知识 ， 也 不 可 能 通过 计算 来 预测 下 一 个 随机 位 是 什 


Lo 


密码 学 意义 上 安全 的 伪 随 机 序列 应 该 是 不 可 压缩 的 .…… 除 非 你 知道 
密 钥 。 密 钥 通 常 是 用 来 设置 发 生 需 初始 状态 的 种 子 。 








像 任何 密码 算法 一 样 ， 密 码 学 意义 上 安全 的 伪 随 机 序列 发 生 器 也 会 
受到 攻击 。 束 好 像 加 密 算法 有 可 能 被 破译 一 样 ， 破 译 密 人 码 学 意义 上 安全 
的 伪 随 机 序列 发 生 费 也 是 可 能 的 。 密 人 码 学 讲 的 部 是 天 于 如 何 使 及 生 右 抵 
抗 攻 击 。 





2.8.3 真正 的 随机 序列 


现在 我 们 走 进 哲学 家 的 领域 ， 真 有 随机 数 这 样 的 东西 吗 ? 随机 序列 
是 什么 ?你 怎么 知道 序列 是 随机 的 ?“101110100” 比 “101010101” 更 随机 
吗 ? 量子 力学 告诉 我 们 ， 在 现实 世界 中 有 真正 的 随机 性 。 但 是 在 计算 机 
尾 片 和 有 限 状 态 机 的 确定 世界 中 ， 这 种 随机 性 还 能 保持 吗 ? 





和 暂且 不 说 哲学 。 从 我 们 的 观点 来 说 ， 如 果 一 个 随机 序列 发 生 器 具有 
下 面 的 性 质 ， 它 就 是 真正 的 随机 Creal random) : 








它 不 能 重复 产生 。 如 果 你 用 完全 同样 的 输入 对 序列 发 生 吉 操作 两 
次 《至 少 与 人 所 能 做 到 的 最 精确 的 一 样 ) ， 你 将 得 到 两 个 不 相关 的 随机 
序列 。 


满足 这 三 条 性 质 的 发 生 器 的 输出 对 于 一 次 一 密 乱 码 本 、 蜜 钥 产 生 和 


任何 其 他 需要 真正 的 随机 数 序列 发 生 器 的 密码 应 用 来 说 都 是 足够 好 的 。 
难点 在 于 确定 真正 的 随机 数 。 如 果 我 用 一 个 给 定 的 密 钥 ， 用 DES 算 法 重 
复 地 对 一 个 字符 串 加 密 ， 我 将 得 到 一 个 好 的 ， 看 起 来 随机 的 输出 。 但 你 
仍 不 可 能 知道 它 是 人 否 真正 的 随机 数 ， 除 非 你 租用 NSA 的 DES 破 译 专家 。 


第 3 章 ， 基 本 协议 


通常 的 密码 技术 使 用 单独 的 密 钥 对 每 一 次 单独 的 会 话 加 密 ， 这 个 密 

称 为 会 话 密 钥 ， 因 为 它 只 在 一 次 特殊 的 通信 中 使 用 。 正 如 8.5 节 讨论 
的 一 样 ， 会 话 密 钥 只 用 于 通信 期 间 。 这 个 会 话 密 钥 怎么 到 达 会 话 者 的 手 
中 古 很 复杂 的 事情 。 





3.1.1 对称 密码 系统 的 密 钥 交 换 


这 个 协议 假设 Alice 和 Bob《〈 网 络 上 的 用 户 ) 每 人 与 KDC 共 享 一 个 秘 
密 密 钥 (1260) ， 在 我 们 的 协议 中 Trent 就 是 KDC。 在 协议 开始 执行 前 ， 
这 些 密 钥 必须 在 适当 的 位 置 〈( 协 议 忽略 了 怎么 分 配 这 些 秘密 密 钥 这 个 非 
常 实际 的 问题 ， 只 是 假设 它们 在 适当 的 位 置 ， 并 且 Mallory 不 知道 它们 
是 什么 》 


(1) Alice 呼 叫 Trent， 并 请 求 一 个 与 Bob 通 信和 的 会 话 密 钥 。 


(2) Trent 产 生 一 个 随机 会 话 密 钥 ， 并 对 它 的 两 个 副本 加 密 : 一 个 
用 Alice 的 密 钥 加 密 ， 另 一 个 用 Bob 的 密 钥 加 密 。Trent 给 Alice 发 送 这 两 个 
fall AX 


(3) Alice 对 她 的 会 话 密 钥 的 副本 解密 。 
(4) Alice 将 Bob 的 会 话 密 钥 副本 送 给 Bob。 
(5) Bob 对 他 的 会 话 密 钥 的 副本 解密 。 
(6) Alice 和 Bob 用 这 个 会 话 密 钥 安 全 地 通信 。 


这 个 协议 依赖 于 Trent 的 绝对 安全 性 。Trent 更 可 能 是 可 信 的 计算 机 
程序 ， 而 不 是 可 信 的 个 人 。 如 果 Mallory 破 坏 了 Trent， 整 个 网 络 都 会 遭 
受 损 害 。 他 有 Trent 与 每 个 用 户 共享 的 所 有 秘密 密 钥 ;他 可 以 读 所 有 过 去 
和 将 来 的 通信 业务 。 他 所 做 的 事情 束 是 对 通信 线路 进行 搭 线 针 听 ， 并 监 
听 加 密 的 消息 流量 。 











男 外 一 个 问题 是 Trent 可 能 会 成 为 瓶 贷 。 他 必须 参与 每 一 次 密 钥 交 
换 。 如 果 Trent 失 败 了 ， 这 个 系统 就 会 被 破坏 。 





3.1.2 ”公开 密 钥 密码 系统 的 密 钥 交换 


基础 的 混合 密码 系统 曾 在 2.5 节 中 讨论 过 。Alice 和 Bob 使 用 公开 密 钥 
密码 系统 协商 会 话 密 钥 ， 并 用 协商 的 会 话 密 钥 加 密 数据 。 在 一 些 实际 的 
实现 中 ，Alice 和 Bob 签 名 的 公开 密 钥 可 在 数据 库 中 获得 。 这 使 得 密 钥 交 
换 协 议 更 容易 ， 即 使 Bob 从 来 没有 听 说 过 Alice，Alice 也 能 够 把 消息 安全 
地 发 送 给 Bob。 








(1) Alice 从 KDC 得 到 Bob 的 公开 密 钥 。 


(2) Alice 产 生 随 机 会 话 密 铀 ， 用 Bob 的 公开 密 钥 加 密 它 ， 然 后 将 
它 传 给 Bob。 


(3) Bob 用 他 的 私人 密 钥 解 密 Alice 的 消息 。 


C4) 两 人 用 同一 会 话 密 钥 对 他 们 的 通信 进行 加 密 。 


3.1.3 中间人 攻击 


Eve 除 了 试图 破译 公开 密 钥 算法 或 者 尝试 对 密 文 进行 唯 密 文 攻击 之 
外 ， 没 有 更 好 的 办 法 。Mallory 比 Eve 更 有 能 力 ， 他 不 仅 能 监听 Alice 和 
Bob 之 间 的 消 县 ， 还 能 修改 、 删 除 消 轧 ， 并 能 产生 全 新 的 消 轧 。 当 
Mallory 同 Alice 谈 话 时 ， 他 能 模仿 Bob， 他 也 能 模仿 Alice 同 Bob 谈 话 。 下 
面 要 谈 的 是 这 种 攻击 是 怎样 生效 的 : 


(1) Alice 将 她 的 公开 密 钥 传送 给 Bob。Mallory 截 取 这 个 密 钥 并 将 
自己 的 公开 密 钥 传送 给 Bob。 


(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。Mallory 截 取 这 个 密 钥 并 将 
自己 的 公开 密 钥 传送 给 Alice。 


(3) 当 Alice 将 用 “Bob” 的 公开 密 钥 加 密 的 消息 传送 给 Bob 时 ， 


Mallory 截 取 它 。 由 于 消息 实际 上 是 用 Mallory 的 公开 密 钥 加 密 的 ， 所 以 
他 就 用 自己 的 私人 密 钥 解密 ， 再 用 Bob 的 公开 密 钥 对 消息 重新 加 密 ， 并 
将 它 传送 给 Bob。 


(4) 当 Bob 将 用 "Alice” 的 公开 密 钥 加 密 的 消息 传送 给 Alice 时 ， 
Mallory 截 取 它 。 由 于 消息 实际 上 是 用 Mallory 自 己 的 公开 密 钥 加 密 的 ， 
所 以 他 用 上 自己 的 私人 密 钥 解密 消息 ， 再 用 Alice 的 公开 密 钥 重新 加 密 ， 并 


将 它 传送 给 Alice。 


即使 Alice 和 Bob 的 公开 密 钥 存储 在 数据 库 中 ， 这 种 攻击 也 是 可 行 
的 。Mallory 能 够 截取 Alice 的 数据 库 查 询 ， 并 用 自己 的 公开 密 钥 代替 Bob 
的 公开 密 钥 。 对 于 Bob， 他 也 能 做 同样 的 事情 ， 用 自己 的 公开 密 钥 代 符 
Alice 的 公开 密 钥 。 他 也 能 秘密 地 侵入 数据 库 ， 用 他 自己 的 密 钥 代 共 
Alice 和 Bob 的 密 钥 。 接 下 来 他 就 简单 地 等 着 Alice 和 Bob 之 间 的 谈话 ， 然 
后 截取 和 修改 消息 ， 他 成 功 了 ! 


中 间 人 攻击 (man-in-the-middle attack) 是 可 行 的 ， 因 为 Alice 和 
Bob 无 法 验证 他 们 之 间 的 交谈 。 假 设 Mallory 没 有 导致 任何 值得 注意 的 网 
络 延 迟 ， 他 们 两 人 就 没有 办 法 知道 有 人 正在 他 们 中 间 阅 读 他 们 自 认 为 是 
秘密 的 消息 。 





3.1.4 连锁 协议 


由 Ron Rivest 和 Adi Shamir 发 明 的 连锁 协议 (interlock protocol) 
[1327] 是 阻止 中 间 人 攻击 的 好 办 法 。 下 面 是 这 个 协议 的 工作 过 程 : 


(1) Alice 将 她 的 公开 密 钥 传送 给 Bob。 
(2) Bob 将 他 的 公开 密 钥 传送 给 Alice。 


(3) Alice 用 Bob 的 公开 密 钥 加 密 她 的 消息 ， 并 将 加 密 消 息 的 一 半 
传送 给 Bob 。 


(4) Bob 用 Alice 的 公开 密 钥 加 密 他 的 消息 ， 并 将 加 密 消 息 的 一 半 
传送 给 Alice。 


(5) Alice 将 加 密 的 另 一 半 消 息 传 送 给 Bob。 





(6) Bob 将 Alice 的 两 半 消 妃 合 在 一 起 ， 并 用 他 的 私人 密 钥 解密 ; 
Bob 将 他 加 密 的 男 一 半 消 轧 传送 给 Alice。 





(7) Alice 将 Bob 的 两 半 消 奶 合 在 一 起 ， 并 用 她 的 私人 密 钥 解密 。 








这 里 重要 的 一 点 是 : 只 有 消息 的 一 半 。 没 有 另 一 半 ， 消 息 坚 无 用 
处 。Bob 只 有 到 第 (6) 步 才 能 读 Alice 的 消息 ，Alice 只 有 到 第 (7) 步 才 
能 读 Bob 的 消 M o 有 很 多 办 法 实现 它 : 





-如 条 采用 分 组 加 密 算 法 ， 每 个 分 组 的 一 半 【《 例 如 ， 每 隅 一 位 ) 能 
在 每 半 个 消息 中 发 送 。 


-消息 的 解密 依赖 于 初始 化 向量 (参见 9.3 节 〉 ， 初 始 化 向 量 可 以 在 
消息 的 男 一 半 中 发 送 。 


首先 发 送 的 一 半 消 晨 可 能 是 加 密 消息 的 单 向 散 列 函数 (参看 2.4 
节 ) ， 并 且 加 和 密 消 息 本 喘 可 能 是 为 一 半 。 


为 了 了 解 这 样 做 是 怎样 给 Mallory 制 造 麻 烦 的 ， 让 我 们 再 看 看 他 破 

坏 协议 的 企图 。 他 仍然 能 够 在 第 〈1) 步 和 第 (2) 步 中 用 自己 的 公开 密 
钥 代 蔡 Alice 和 Bob 的 公开 密 钥 。 但 现在 ， 当 他 在 第 (3) 步 截 取 Alice 的 
一 半 消 息 时 ， 他 不 能 用 他 的 私人 密 钥 对 消息 解密 ， 然 后 用 Bob 的 公开 密 
钥 再 加 密 。 他 不 得 不 虚构 一 条 完全 不 同 的 新 消息 ， 并 将 它 的 一 半 发 送 给 
Bob。 当 他 在 第 (4) 步 截取 Bob 给 Alice 的 一 半 消 息 时 ， 他 有 同样 的 问 

题 ， 他 不 能 用 他 的 私人 密 钥 解密 ， 并 用 Alice 的 公开 密 钥 再 加 密 ， 他 又 不 
得 不 虚构 一 条 完全 不 同 的 新 消息 ， 并 将 它 的 一 半 发 送 给 Alice。 当 他 在 第 
(5) 步 和 第 (6) 步 截取 到 实际 消息 的 另 一 半 时 ， 他 再 去 把 他 虚构 的 新 
消息 改 回来 就 太 迟 了 。Alice 和 Bob 之 间 的 会 话 必定 是 完全 不 同 的 。 


Mallory 也 可 以 不 用 这 种 办 法 。 如 果 他 非常 了 解 Alice 和 Bob， 他 就 可 
以 模仿 他 们 之 中 的 一 个 同 男 一 人 通话 ， 他 们 绝 不 会 想到 正在 受到 欺骗 。 
但 这 样 做 肯定 比 华 在 他 们 之 间 截 取 和 阅读 他 们 的 消 恕 更 难 。 








3.1.5 ”使 用 数字 签名 的 密 钥 交换 








在 会 话 密 钥 交换 协议 期 间 采 用 数字 签名 也 能 防止 中 间 人 攻击 。Trent 
对 Alice 和 Bob 的 公开 密 钥 签名 。 签 名 的 密 钥 包括 一 个 已 签名 的 所 有 权证 
书 。 当 Alice 和 Bob 收 到 密 钥 时 ， 他 们 每 人 都 能 验证 Trent 的 签名 。 现 在 ， 
他 们 就 知道 公开 窜 钥 是 哪个 人 的 。 密 钥 的 交换 就 能 进行 了 。 


Mallory 会 遇 到 严重 的 阻力 。 他 不 能 假冒 Bob 或 者 Alice， 因 为 他 不 知 
道 他 们 的 私人 密 钥 。 他 也 不 能 用 他 的 公开 密 钥 代 蔡 他 们 两 人 的 公开 密 
钥 ， 因 为 当 他 有 由 Trent 签 名 的 证 书 时 ， 这 个 证 书 是 为 Mallory 签 发 的 。 
他 所 能 做 的 事情 就 是 伪 听 往来 的 加 密 消 轧 ， 或 者 破坏 通信 线路 ， 阻 止 


Alice 和 Bob 谈 话 。 


这 个 协议 也 动用 了 Trent， 但 KDC 遭 受 损害 的 风险 比 第 一 种 协议 
小 。 如 果 Mallory 和 危及 Trent 的 安全 《侵入 KDC) ， 他 所 得 到 的 只 是 Trent 
的 私人 密 钥 。 这 个 密 钥 使 他 仅 能 对 新 的 密 钥 签名 ， 而 不 会 让 他 对 任何 会 
话 密 钥 解密 ， 或 者 读 取 任何 消息 。 为 了 能 够 读 往来 的 消息 ，Mallory 不 
得 不 冒充 网 络 上 的 某 个 用 户 ， 并 且 其 骗 合法 用 户 用 他 的 假 公 开 密 钥 加 密 


a. 
亚 


C 


Mallory 能 够 发 起 这 种 攻击 。 持 有 Trent 的 私人 密 钥 ， 他 能 够 产生 假 
的 签名 密 钥 去 愚弄 Alice 和 Bob。 人 然后 Mallory 就 能 够 在 数据 库 中 交换 他 们 
真正 的 签名 密 钥 ， 或 者 截取 用 户 向 数据 库 的 请 求 ， 并 用 他 的 假 密 钥 代 
替 。 这 使 他 能 够 发 起 中 间 人 攻击 ， 并 读 取 他 人 的 通信 。 





这 种 攻击 是 可 行 的 ， 但 记 住 Mallory 必 须 能 够 截取 和 修改 消息 。 在 
一 些 网 络 中 ， 截 取 和 修改 消息 比 被 动 地 坐 在 网 络 旁 读 取 往 来 的 消息 更 
难 。 在 广播 信道 上 ， 如 无 线 网 ， 几 乎 不 可 能 用 其 他 消 轧 来 瞧 代 茶 个 消 旦 
整个 网 络 可 能 被 堵塞 ) 。 在 计算 机 网 络 中 做 这 种 事 更 容易 些 ， 并 且 随 
者 时 间 的 推移 变 得 越 来 越 容易 ， 例 如 了 欺骗、 路 由 攻击 等 。 主 动 攻击 并 
不 一 定 表 示 有 人 用 数据 显示 仪 抠 出 数据 ， 且 也 不 限于 三 字符 的 代理 。 














3.1.6” 密 钥 和 消息 传输 








Alice 和 Bob 在 交换 消息 前 不 需要 完成 密 钥 交 换 协 议 。 在 下 面 的 协议 
中 ，Alice 在 没有 任何 以 前 密 钥 交换 协议 的 情况 下 ， 将 消息 M 传 送 给 
Bob: 


(1) Alice 产 生 随机 会 话 密 钥 K， 并 用 K 加 密 M: Eg M) 。 
(2) Alice 从 数据 库 中 得 到 Bob 的 公开 密 钥 。 
(3) Alice 用 Bob 的 公开 和 密 钥 加 窗 K: Ep (K) 。 


(4) Alice 将 加 密 的 消息 和 加 密 的 会 话 密 钥 传 送 给 Bob: Ek 


(M) , Ep (K). 


为 了 增加 安全 性 ， 防 止 中 间 人 攻击 ，Alice 可 对 传输 签名 。 


(5) Bob 用 他 的 私人 密 钥 将 Alice 的 会 话 密 钥 K 解 密 。 


(6) Bob 用 会 话 密 钥 将 Alice 的 消息 解密 。 





这 个 混合 系统 表示 ， 公 开 密 钥 密 码 是 怎样 经 常用 于 通信 系统 的 。 它 
可 以 和 数字 签名 、 时 间 标 记 以 及 任何 其 他 安全 协议 组 合 在 一 起 使 用 。 


3.1.7 ZAMKE 
没有 理由 认为 Alice 不 会 把 加 密 的 消息 传送 给 多 个 人 。 在 这 个 例子 
中 ，Alice 束 把 加 密 的 消息 传送 给 Bob、Carol 和 Dave: 
(1) Alice 产 生 随 机 会 话 密 铀 K， 并 用 K 加 密 消 息 M: Ex M) 。 
(2) Alice 从 数据 库 中 得 到 Bob、Carol 和 Dave 的 公开 密 钥 。 


(3) Alice 用 Bob 的 公开 密 钥 加 密 K， 用 Carol 的 公开 密 钥 加 密 K， 用 
Dave 的 公开 密 钥 加 密 K: Eg (K) , Ec (K), Ep (R). 


(4) Alice 广 播 加 密 的 消息 和 所 有 加 密 的 密 钥 ， 将 它 传 送 给 要 接收 
它 的 人 : Ep (K) , Ee (K) , Ep (K), Ex M). 


(5) 只 有 Bob、Carol 和 Dave 能 用 他 们 的 私人 密 钥 将 区 解密 。 


(6) 只 有 Bob、Carol 和 Dave 能 用 K 将 Alice 的 消息 解密 。 


这 个 协议 可 以 在 存储 转发 网 络 上 实现 。 中 央 服 务 器 能 够 将 Alice 的 消 
妃 ， 连 同 特 别 加 密 的 密 钥 一 起 转发 给 Bob 、Carol 和 Dave。 服 务 器 不 一 定 
是 安全 的 或 者 可 信 的 ， 因 为 它 不 可 能 对 任何 消息 解密 。 





当 Alice 登 录 计 算 机 或 自动 柜员 机 、 电 话 银 行 系统 或 其 他 的 终端 类 
型 ) 时 ， 计 算 机 怎么 知道 她 是 谁 呢 ? 计算 机 怎么 知道 她 不 是 由 其 他 人 冒 
充 的 呢 ? 传统 的 办 法 是 用 口令 来 解决 这 个 问题 的 。Alice 先 输入 她 的 口 
令 ， 然 后 计算 机 确认 它 是 正确 的 。Alice 和 计算 机 两 者 都 知道 这 个 口令 ， 
Alice 每 次 登录 时 ， 计 算 机 都 要 求 Alice 输 入 口令 。 


3.2.1 使 用 单 癌 函数 鉴别 





Roger Needham 和 Mike Guy 意 识 到 计算 机 没有 必要 知道 口令 。 计 算 
机 只 需 有 能 力 区 别 有 效 口令 和 无 效 口令 。 这 种 办 法 很 容易 用 单 向 函数 来 
实现 [399、526、1274、1121] 。 计 算 机 存储 口令 的 单 向 函数 而 不 是 存储 口 


令 。 


(1) Alice 将 她 的 口令 传送 给 计算 机 。 
(2) 计算 机 完成 口令 的 单 向 函数 计算 。 
(3) 计算 机 把 单 癌 函数 的 运算 结果 与 它 以 前 存储 的 值 进行 比较 。 


由 于 计算 机 不 再 存储 每 人 的 有 效 口 令 表 ， 所 以 某 些 人 侵入 计算 机 并 
偷 取 口 令 的 威胁 就 减少 了 。 由 口令 的 单 向 函数 产生 的 口令 表 是 没 用 的 ， 
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3.2.2 “Hs Allsalt 


FAA [a] es CI A O S SCP P oe RGSS © Mallory Ze Mh as T Ta) Fr 
制 了 100 万 个 最 第 用 的 口令 表 ， 他 用 单 同 函数 对 所 有 100 万 个 口令 进行 运 
算 ， 并 将 结果 存储 。 如 果 每 个 口令 大 约 是 8 字 节 ， 运 算 结果 的 文件 不 会 
超过 8MB， 儿 张 软盘 就 能 存 下 。 现 在 Mallory 偷 出 加 蜜 的 口令 文件 ， 将 
它 与 自己 可 能 的 口令 文件 进行 比较 ， 再 观察 哪个 能 匹配 。 




















这 就 是 字典 式 攻 击 (dictionary attack) ， 它 的 成 功率 令 人 吃惊 〈 参 
W817) 。salt 是 使 这 种 攻击 更 困难 的 一 种 方法 。salt 是 一 个 随机 字符 
串 ， 它 与 口令 连接 在 一 起 ， 再 用 单 癌 函 数 对 其 运算 。 然 后 将 salt 值 和 单 
问 函 数 运算 的 结果 存 入 主机 数据 库 中 。 如 果 可 能 的 salt 值 的 数目 足够 大 
的 话 ， 它 实际 上 束 消 除了 对 常用 口令 采用 的 字典 式 攻 击 ， 因 为 Mallory 
不 得 不 产生 每 个 可 能 的 salt 值 的 单 疝 散 列 值 。 这 是 初始 化 向 量 的 简单 尝 


试 ( 参 见 9.3 节 ) 。 

这 里 的 关键 是 确信 当 Mallory 试 图 破译 其 他 人 的 口令 时 ， 他 不 得 不 
每 次 试验 字典 里 每 个 口令 的 加 密 ， 而 不 是 只 对 可 能 的 口令 进行 大 量 的 预 
先 计算 。 








许多 salt 是 必需 的 。 大 多 数 UNIX 系 统 仅 使 用 12 位 的 salt。 即 使 那 


样 ，Danid Klein 开发 了 一 个 猜测 口令 的 程序 ， 在 大 约 一 星期 里 ， 经 常 能 
破译 出 一 个 给 定 系统 中 40% 的 口令 1847. 848] (参见 8.1 节 ) 。David 
Feldmeier 和 Philip Karn 编 辑 了 大 约 732000 个 常用 的 口令 表 ， 表 中 的 口令 
与 4096 个 可 能 的 salt 值 中 的 每 个 值 都 有 联系 。 采 用 这 张 表 ， 他 们 估计 在 
给 定 系 统 中 ， 大 约 能 够 破译 出 30% 的 口令 bell, 


salt 不 是 万 灵 药 ， 增 加 salt 的 位 数 不 能 解决 所 有 问题 。 它 只 能 防止 对 
口令 文件 采用 的 一 般 的 字典 式 攻 击 ， 不 能 防止 对 单个 口令 的 联合 攻击 。 
在 不 同 机 器 上 采用 相同 口令 的 人 使 人 难以 理解 ， 因 为 这 样 做 并 不 比 拙劣 
选用 的 口令 更 好 。 


3.2.3 SKEY 
SKEY 是 一 种 鉴别 程序 ， 它 依赖 于 单 向 函数 的 安全 性 。 这 很 容易 理 
为 了 设置 系统 ，Alice 输 入 随机 数 R， 计 算 机 计算 f〈R) 、 

f E (R) ) 、f (f Cf (CR) ) ) 等 大 约 100 次 。 调 用 xi > X29 X30 ao 


Xxi00 这 些 数 。 计 算 机 输出 这 些 数 的 列表 ，Alice 把 这 些 数 放 入 口袋 妥善 保 
管 ， 计 算 机 也 顺利 地 在 登录 数据 库 中 Alice 的 名 字 后 面 存储 xioi 的 值 。 





当 Alice 第 一 次 登录 时 ， 她 输入 她 的 名 字 和 xioo 。 计 算 机 计算 f (xio0 
) ， 并 把 它 和 xiol 比较 ， 如 果 它 们 匹配 ， 那 么 证 明 Alice 映 份 是 真 的 。 然 


后 ， 计 算 机 用 xioo 代替 数据 库 中 的 xiol 。Alice 将 从 她 的 列表 中 取消 xio0 





Alice 每 次 登录 时 ， 痢 输入 她 的 列表 中 未 取消 的 最 后 数 xi 。 计 算 机 计 
Bt (x,) ， 并 和 存储 在 数据 库 中 的 xl 比较 。 因 为 每 个 数 只 用 一 次 ， 并 
且 这 个 函数 是 蛙 向 的 ， 所 以 Eve 不 可 能 得 到 任何 有 用 的 消息 。 同 样 ， 数 
据 库 对 攻击 者 也 毫 无 用 处 。 当 然 ， 当 Alice 用 完了 她 的 列表 上 的 数 后 ， 她 
必须 重新 初始 化 系统 。 





3.2.4 ”使 用 公开 和 密 钥 密码 系统 鉴别 


即使 使 用 salt， 第 一 个 协议 仍 有 严重 的 安全 问题 。 当 Alice 将 她 的 口 
令 发 送 给 主机 时 ， 能 够 进入 她 的 数据 通道 的 任何 人 都 可 读 取 她 的 口令 。 
可 以 通过 迁 回 的 传输 路 径 《〈 经 过 四 家 竞争 对 手 、 三 个 国家 和 两 个 思想 油 
进 的 大 学 ) 访问 她 的 主机 ， 在 任何 一 点 Eve 都 有 可 能 急 听 Alice 的 登录 订 
列 。 如 果 Eve 可 以 存 取 主 机 的 处 理 器 内 存 ， 那 么 在 主机 对 口令 进行 散 列 
计算 前 ，Eve 都 能 够 看 到 口令 。 


公开 密 钥 密码 能 解决 这 个 问题 。 主 机 保存 每 个 用 户 的 公开 密 钥 文 
件 ， 所 有 用 户 保存 自己 的 私人 密 钥 。 这 里 是 对 协议 的 简单 攻击 。 登 录 
时 ， 协 议 按 下 面 进行 : 


(1) 主机 发 送 一 个 随机 字符 串 给 Alice。 


(2) Alice 用 她 的 私人 密 钥 对 此 随机 字符 串 加 密 ， 并 将 此 字符 串 和 
她 的 名 字 一 起 传送 回 主机 。 


(3) 主机 在 数据 库 中 碍 找 Alice 的 公开 密 钥 ， 并 用 公开 密 钥 解密 。 


(4) 如 果 解 密 后 的 字符 串 与 主机 在 第 一 步 中 发 送 给 Alice 的 字符 串 
匹配 ， 则 人 允许 Alice 访 问 系 统 。 





没有 其 他 人 能 访问 Alice 的 秘密 密 钥 ， 因 此 不 可 能 有 任何 人 冒充 
Alice。 更 重要 的 是 ，Alice 决 不 会 在 传输 线路 上 将 她 的 私人 和 密 钥 发 送 给 
主机 。 窃 听 这 个 交互 过 程 中 的 Eve， 不 可 能 得 到 任何 消息 使 她 能 够 推导 
出 Alice 的 私人 密 钥 并 冒充 Alice。 


私人 密 钥 既 长 又 难 记 ， 它 可 能 是 由 用 户 的 硬件 或 通信 软件 自动 处 理 
的 。 这 就 需要 一 个 Alice 信 任 的 智能 终端 ， 但 主机 和 通信 线路 都 不 必 是 安 
全 的 。 





对 任意 字符 串 进行 加 密 是 愚 柬 的 ， 这 些 字 符 串 不仅 包括 由 不 可 信和 的 
第 三 方 及 送 的 ， 而 且 还 包括 在 任何 环境 下 发 送 的 。 对 此 可 以 采用 类 似 
19.3 节 中 讨论 的 攻击 。 安 全 的 号 份 证 明 协 议 可 采用 下 面 更 复杂 的 形式 : 











(1) Alice 根 据 一 些 随 机 数 和 她 的 私人 密 钥 进行 计算 ， 并 将 结果 传 
送 给 主机 。 


(2) 主机 将 一 个 不 同 的 随机 数 传送 给 Alice。 


(3) Alice 根 据 这 些 随机 数 〈 她 目 己 产生 的 和 从 主机 接收 的 ) 和 她 
的 私人 密 钥 进行 计算 ， 并 将 结果 传送 给 主机 。 





(4) 主机 用 从 Alice 那 里 接收 来 的 各 种 数据 和 Alice 的 公开 密 钥 进行 
计算 ， 以 此 来 验证 Alice 是 否 知 道 自己 的 私人 密 角 。 


C5) 如 果 她 知道 ， 则 她 的 喘 份 束 被 证 实 了 。 


如 果 Alice 不 相信 主机 ， 就 像 主机 不 相信 她 一 样 ， 那 么 Alice 将 要 求 
主机 用 同样 方式 证 实 其 号 份 。 





步骤 G) 是 不 必要 的 和 令 人 费解 的 ， 但 它 用 来 阻止 对 协议 的 攻 
击 。21.1 六 和 21.2 节 从 数学 上 描述 了 几 种 用 作 号 份 证 明 的 算法 和 协议 
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3.2.5 ”使 用 连锁 协议 互相 鉴别 


Alice 和 Bob 是 想 要 互相 鉴别 的 两 个 用 户 。 他 们 每 人 都 有 一 个 对 方 知 
道 的 口令 : Alice 的 口令 是 Ps ，Bob 的 是 Pa 。 下 面 的 协议 是 行 不 通 的 : 


(1) Alice 和 Bob 交 换 公 开 密 钥 。 
(2) Alice 用 Bob 的 公开 密 钥 加 密 PA ， 并 将 它 传送 给 Bob。 


(3) Bob 用 Alice 的 公开 密 钥 加 和 密 Ps ， 并 发 送 给 Alice。 


(4) Alice 解 密 她 在 第 (2) 步 中 接收 到 的 消息 并 验证 它 是 正确 的 。 
(5) Bob 解 密 他 在 第 (3) 步 中 接收 到 的 消息 并 验证 它 是 正确 的 。 
Mallory 能 够 成 功 发 起 中 间 人 攻击 《参见 3.1 六 ) : 

(1) Alice 和 Bob 交 换 公 开 密 钥 。Mallory 和 截取 这 两 个 消息 ， 他 用 自 
己 的 公开 密 钥 代 蔡 Bob 的 ， 并 将 它 发 送 给 Alice。 然 后 ， 又 用 他 的 公开 密 
钥 代 荐 Alice 的 ， 并 将 它 发 送 给 Bob。 

(2) Alice 用 “Bob” 的 公开 密 钥 对 PA 加 密 ， 并 发 送 给 Bob。Mallory 
截取 这 个 消息 ， 用 他 的 私人 密 钥 对 Pp 解密 ， 再 用 Bob 的 公开 密 钥 加 密 ， 
并 将 它 发 送 给 Bob。 

(3) Bob 用 “Alice” 的 公开 和 密 钥 对 Pp 加 密 ， 并 发 送 给 Alice。Mallory 
截取 它 ， 用 他 的 私人 密 钥 对 Pp 解密 。 再 用 Alice 的 公开 密 钥 对 它 加 密 ， 
并 发 送 给 Alice。 





(4) Alice 对 Pp 解密 ， 并 验证 它 是 正确 的 。 
(5) Bob 对 PA 解密 ， 并 验证 它 是 正确 的 。 
从 Alice 和 Bob 处 看 并 没有 什么 不 同 ， 然 而 Mallory 知 道 PA 和 Pp 。 


Donald Davies 和 Wyn Price 描 述 了 怎样 采用 连锁 协议 (在 3.1 节 中 摘 


R) 来 挫败 这 种 攻击 L435] 。Steve Bellovin 和 Michael Merritt 讨 论 了 对 


这 个 协议 进行 攻击 的 各 种 方法 [1104 。 如 果 Alice 是 用 户 ，Bob 是 主机 ， 
Mallory 可 以 假装 是 Bob， 和 Alice 一 起 完成 协议 的 开始 几 步 ， 然 后 终止 连 
接 。 真 实 的 技巧 要 求 Mallory 通 过 模拟 线路 噪声 或 网 络 失败 来 终止 连 
接 ， 但 最 终 的 结果 是 Mallory 有 Alice 的 口令 。 然 后 ， 他 可 以 和 Bob 连 接 ， 
完成 协议 。Mallory 也 就 有 Bob 的 口令 了 。 


假如 用 户 的 口令 比 主 机 的 口令 更 敏感 ， 那 么 就 可 以 修改 这 个 协议 ， 
在 Alice 给 出 她 的 口令 之 前 ， 让 Bob 先 给 出 他 的 口令 。 这 导致 了 一 个 更 加 
复杂 的 攻击 ， 文 献 [110」 中 有 此 摘 述 。 


3.2.6 SKID 


SKID2 和 SKID3 是 为 RACE 的 RIPE 项 目 开 发 的 对 称 密码 识别 协议 
[1305] (参见 25.7 节 ) 。 它 们 都 用 MAC (参见 2.4 节 ) 来 提供 安全 性 ， 
并 且 这 两 个 协议 都 假设 Alice 和 Bob 共 享 同一 个 秘密 密 钥 K。 


SKID2 人 允许 Bob 回 Alice 证 明 他 的 吴 份 。 下 面 是 这 个 协议 : 


(1) Alice 选 用 随机 数 RA (RIPE 文 件 规定 的 64 位 数 ) ， 并 将 它 发 
送 给 Bob。 


(2) Bob 选 用 随机 数 Rae (RIPE 文 件 规定 的 64 位 数 ) ， 并 将 Rp 和 
Hk (RA ，Rep B) 发 送 给 Alice。 其 中 Hk 是 MAC (RIPE 文 件 建议 的 


RIPE-MACRR 20, 2118.1477) 。 


(3) AlicettS#H, (Ra Rg, B) ， 并 将 它 与 从 Bob 那 里 接收 到 
的 消息 比较 。 如 果 结 果 一 致 ， 那 么 Alice 知 道 她 正 与 Bob 通 信 。 


SKID3 提 供 Alice 和 Bob 之 间 的 相互 鉴别 。 第 〈1) 一 〈3) BH 
SKID2 一 样 ， 以 后 的 协议 按 下 面 进 行 : 


(4) Alice Hk (Rp A) 发 送 给 Bob。 


(5) Bob 计 算 HK (Rp A) ， 并 将 它 与 从 Alice 那 里 收 到 的 消息 比 
较 。 如 果 相 同 ， 那 么 Bob 知 道 他 正 与 Alice 通 信 。 








这 个 协议 对 中 间 人 攻击 来 说 是 不 安全 的 。 一 般 地 ， 中 间 人 攻击 能 够 
击败 任何 不 包括 茶 些 秘密 的 协议 。 


3.2.7 ”消息 鉴别 








当 Bob 从 Alice 那 里 接收 消 妃 时 ， 他 怎么 知道 消 轧 是 可 信 的 呢 ? 如 采 
Alice 对 她 的 消 妃 签名 ， 就 容易 了 。Alice 的 签名 足以 使 任何 人 都 相信 消 
Bæ A N o 


对 称 密码 学 提供 了 一 些 鉴 别 。 当 Bob 从 Alice 那 里 接收 到 用 他 们 的 共 
吾 密 钥 加 密 的 消 妃 时 ， 他 知道 消息 是 从 Alice 那 里 来 的 ， 因 为 没有 其 他 人 


知道 他 们 的 密 钥 。 然 而 ，Bob 没 有 办 法 使 第 三 者 相信 这 个 事实 ，Bob 不 
可 能 把 消 妃 给 Trent 看 ， 并 使 他 相信 消息 是 从 Alice 那 里 来 的 。Trent 能 够 
相信 消 奶 是 从 Alice 或 Bob 那 里 来 的 (因为 没有 其 他 人 共 至 他 们 的 秘密 笑 
TH) ， 但 是 他 没有 办 法 知道 消息 到 撒 是 从 谁 那里 来 的 。 


如 果 消 息 没 有 被 加 密 ，Alice 也 能 使 用 MAC。 这 也 使 Bob 相 信 消 息 是 
可 信 的 ， 但 与 对 称 密码 学 的 解雇 方法 有 同样 的 问题 。 


3.3 鉴别 和 密 钥 交换 


以 下 协议 综合 利用 密 钥 交换 和 鉴别 ， 解 决 了 一 般 的 计算 机 问题 : 
Alice 和 Bob 分 别 坐 在 网 络 的 两 端 ， 他 们 想 安 全 地 交谈 。Alice 和 Bob 怎 么 
交换 秘密 密 钥 呢 ? 他 们 怎么 确信 自己 当时 正在 同 对 方 而 不 是 同 Mallory 
RENE? 大 多 数 协议 假设 Trent 与 参与 者 双方 各 共享 一 个 不 同 的 秘密 密 
钥 ， 并 且 所 有 这 些 密 钥 在 协议 开始 前 都 在 适当 的 位 置 。 在 这 些 协议 中 使 
用 的 符号 见 表 3-1。 


表 3-1 在 鉴别 和 密 钥 交换 协议 中 使 用 的 符号 








fi a X 符号 zX 

A Alice 的 名 字 K 随机 会 话 密 钥 

B Bob 的 名 字 L 生存 期 

Ea 用 Treat 和 Alice 共享 的 密 钥 加 密 Ta, Tp 时 间 标 记 

Es 用 Trent 和 Bob 共享 的 密 钥 加 密 Ra, Rp 随机 数 ， 分 别 由 Alice 和 Bob 选择 
I 索引 号 








3.3.1 Wide-Mouth Frog 协 议 


Wide-Mouth Frog 协 议 (289. 2841 可 能 是 最 简单 的 对 称 密 钥 管 理 协 


议 ， 该 协议 使 用 一 个 可 信 的 服务 器 。Alice 和 Beb 两 人 各 和 Trent 共享 一 个 


INF 





秘密 密 钥 。 这 些 密 钥 只 用 于 密 钥 分 配 ， 而 不 用 于 加 密 用 户 之 间 的 实际 消 


晨 。 会 话 密 钥 只 通过 两 个 消 轧 就 从 Alice 传 送 给 Bob: 


(1) Alice 将 时 间 标 记 T。 连同 Bob 的 名 字 B 和 随机 会 话 密 钥 K 一 起 ， 


用 她 和 Trent 共 享 的 密 钥 对 整个 消息 加 密 。 她 将 加 密 的 消 朋 和 她 的 身份 A 
一 起 发 送 给 Trent: A， EA CTA ， B, K) o 


(2) Trent 解密 Alice 发 来 的 消息 。 然 后 将 一 个 新 的 时 间 标 记 Te 连同 
Alice 的 名 字 和 随机 会 话 密 钥 一 起 ， 用 他 与 Bob 共 享 的 密 钥 对 整个 消息 加 
密 ， 并 将 它 发 送 给 Bob: Ep (Tg, A, K) 。 


这 个 协议 最 重要 的 假设 是 Alice 完 全 有 能 力 产生 好 的 会 话 密 钥 。 请 记 
住 ， 随 机 数 不 容易 产生 ， 无 法 相信 和 Alice 能 够 做 好 这 件 事 。 


3.3.2 ”Yahalom 协 议 


在 这 个 协议 中 ，Alice 和 Bob 两 人 各 与 Trent 共享 一 个 秘密 密 钥 [283、 


284 | ` 


(1) Alice 将 她 的 名 字 与 随机 数 RA 连接 在 一 起 ， 并 将 它 发 送 给 
Bob: A; Ra © 


(2) Bob 将 Alice 的 名 字 、Alice 的 随机 数 、 他 自己 的 随机 数 Rsp 一 起 
用 他 和 Trent 共享 的 密 钥 加 密 。 再 将 加 密 的 结果 和 Bob 的 名 字 一 起 发 送 给 
Trent: B, Ep (A, Ra» Rp) © 


(3) Trent 产生 两 个 消 轧 ， 第 一 个 消息 由 Bob 的 名 字 、 随 机 会 话 密 
钥 K、Alice 的 随机 数 和 Bob 的 随机 数组 成 ， 用 他 和 Alice 共 至 的 密 钥 对 所 


有 第 一 个 消息 加 密 ; 第 二 个 消息 由 Alice 的 名 字 和 随机 会 话 密 钥 组 成 ， 用 
他 和 Bob 共 至 的 密 钥 加 密 ， 然 后 将 这 两 个 消息 发 送 给 Alice: Ey (B, 


K, Ra b Rp ) bd Ep CA, K) o 


(4) Alice AEAN, JERK, FAAR, 的 值 与 她 在 (1) 
中 的 值 一 样 。Alice 发 送 两 个 消息 给 Bob。 第 一 个 消息 是 从 Trent 那 里 接收 
到 的 用 Bob 的 密 钥 加 密 的 消息 ， 第 二 个 是 用 会 话 密 钥 加 密 的 Re : Ep 
(A, K) , Ex (Rp) 。 


(5) Bob 用 他 的 密 钥 解 密 消 上 息 ， 提 取 K， 并 确认 Re 与 他 在 2) 中 
的 值 一 样 。 





最 后 ，Alice 和 Bob 互 相 确 信和 是 正在 同 对 方 谈话 ， 而 不 是 同 第 三 者 。 
这 里 的 新 东西 是 : Bob 是 同 Trent 接 触 的 第 一 人 ， 而 Trent 仅 回 Alice 发 送 一 


次 消息 。 


3.3.3 ”Needham-Schroeder 协 议 


这 个 协议 由 Roger Needham#llMichael Schroeder 发 明 11159] ， 也 采 
用 对 称 密码 术 和 Trent。 


(1) Alice 将 由 她 的 名 字 A、Bob 的 名 字 B 和 随机 数 RA ZARA Se 
给 Trent: A, B, Rg © 


(2) Trent 产生 随机 会 话 密 钥 K。 他 用 与 Bob 共 享 的 秘密 密 钥 对 随机 
会 话 密 钥 K 和 Alice 名 字 组 成 的 消息 加 密 。 然 后 用 他 和 Alice 共 享 的 秘密 密 
钥 对 Alice 的 随机 值 、Bob 的 名 字 、 会 话 密 钥 K 和 已 加 密 的 消息 进行 加 
密 ， 最 后 ， 将 加 密 的 消息 传送 给 Alice: Ey (Ra» B, K, Ep (K, 


A) ) 。 


(3) Alice 将 消息 解密 并 提取 K。 她 确认 Ra 与 她 在 第 (1) 步 中 发 
送 给 Trent 的 一 样 。 然 后 她 将 Trent 用 Bob 的 密 钥 加 密 的 消息 发 送 给 Bob: 
Es (K, A). 


(4) Bob 对 消息 解密 并 提取 K， 然 后 产生 另 一 个 随机 数 Re 。 他 用 K 
加 密 它 并 将 它 发 送 给 Alice: Ex (Rp) o 


(5) Alice 用 K 将 消息 解密 ， 产 生 Rp -1 并 用 K 对 它 加 密 ， 然 后 将 消 
EUR |B] 25 Bob: Ex (Rp -1) o 


(6) Bob 用 K 对 消息 解密 ， 并 验证 它 是 Re -1。 


所 有 这 些 围绕 RA > Rp 和 Rp -1 的 麻烦 用 来 防止 重 放 攻 击 (replay 
attack) 。 在 这 种 攻击 中 ，Mallory 可 能 记录 旧 的 消息 ， 以 后 再 使 用 它们 
以 达到 破坏 协议 的 目的 。 在 第 (2) 步 中 RA 的 出 现 使 Alice 确 信 Trent 的 
消息 是 合法 的 ， 并 且 不 是 以 前 协议 的 重 放 。 在 第 (5) 步 中 ， 当 Alice 成 
功 地 解密 Re 并 将 Rp -1 送 回 给 Bob 之 后 ，Bob 确 信和 Alice 的 消息 不 是 以 前 协 
议 执行 的 重 放 。 





这 个 协议 的 主要 安全 漏洞 是 旧 的 会 话 密 钥 仍 有 价值 。 如 果 Mallory 
可 以 存 取 旧 的 密 钥 K， 他 就 可 以 发 起 一 次 成 功 的 攻击 “%! 。 他 所 做 的 
全 部 工作 是 记录 Alice 在 第 (3) 步 发送 给 Bob 的 消 轧 。 然 后 ， 一 旦 他 有 
K， 他 就 能 够 假装 是 Alice: 








(1) Mallory 发 送 给 Bob 下 面 的 消息 : Eg (K, A). 
(2) Bob 提 取 K， 产 生 Rp ， 并 发 送 给 Alice: Ex (Rp) © 


(3) Mallory 截 取 此 消息 ， 用 K 对 它 解 密 ， 并 发 送 给 Bob: Ex (Rg 


Ta 
(4) Bob 验 证 “Alice” 的 消息 是 Rp -1。 
现在 ，Mallory 成 功 地 使 Bob 确 信 他 就 是 Alice 了 。 


一 个 使 用 时 间 标 记 的 更 强 的 协议 能 够 击败 这 种 攻击 461 4564 。 在 
第 (2) 步 中 ， 将 时 间 标 记 附 加 到 用 Bob 的 密 钥 加 密 的 Trent 的 消 恩 中 : 
Ep (K, A, T) 。 时 间 标 记 需 要 一 个 安全 和 精确 的 系统 时 钟 ， 这 对 系 
统 本 里 来 说 不 是 一 个 普通 问题 。 





如 果 Trent 与 Alice 共 享 的 密 钥 KA 泄露 了 ， 后 果 是 非常 严重 的 。 
Mallory 能 够 用 它 获 得 同 Bob 交 谈 的 会 话 密 钥 ( 或 他 想 要 交谈 的 其 他 任何 
人 的 会 话 密 钥 ) 。 人 情况 其 全 更 坏 ， 在 Alice 更 换 她 的 密 钥 后 Mallory 还 能 
够 继续 做 这 种 事情 L, 


Needham 和 Schroeder 试图 在 他 们 的 协议 改进 版 本 中 改正 这 些 问题 
L1160」 。 他 们 的 新 协议 基本 上 与 发 表 在 同一 杂志 同一 期 上 的 Otway-Rees 
协议 相同 。 


3.3.4 Otway-Rees tii 


这 个 协议 也 是 使 用 对 称 密码 术 【1224] 。 


(1) Alice 产 生 消 轧 ， 此 消息 包括 一 个 和 之 引号 、 她 的 名 字 A、Bob 
的 名 字 B 和 随机 数 RA ， 用 她 和 Trent 共享 的 密 钥 对 此 消息 加 密 ， 并 将 索 
引号 、 她 的 名 字 和 Bob 的 名 字 与 她 加 密 的 消息 一 起 发 送 给 Bob: I, A, 
B, Ea (Rao L A, B) à 


(2) Bob 产生 消息 ， 此 消息 包括 一 个 新 的 随机 数 Re 、 索 引号 下 
Alice 的 名 字 A 和 Bob 的 名 字 B。 用 他 与 Trent 共享 的 密 钥 对 此 消息 加 密 。 
并 将 Alice 的 加 密 消 息 、 索 引号 、Alice 的 名 字 、Bob 的 名 字 与 他 加 密 的 消 
息 一 起 发 送 给 Trent: I, A, B, Ea (Ra; L A, B), Eg (Rp, L 
A，B) 。 


(3) Trent 产 生 随机 会 话 密 钥 K， 然 后 产生 两 个 消息 。 一 个 用 他 与 
Alice 共 享 的 密 钥 对 Alice 的 随机 数 和 会 话 密 钥 加 密 ， 另 一 个 用 与 Bob 共 享 
的 密 钥 对 Bob 的 随机 数 和 会 话 密 钥 加 密 。 他 将 这 两 个 消息 与 索引 号 一 起 
发 送 给 Bob: I, Ea (Ra, K) , Ep (Rp, K). 





(4) Bob 将 用 Alice 的 密 钥 加 密 的 消息 连同 索引 号 一 起 发 送 给 
Alice: l, EA (RA, K) o 


(5) Alice AAE, WKE he BEALE, IA AN E 
的 索引 号 和 随机 数 都 没有 改变 。 





假设 所 有 随机 数 都 匹配 ， 并 且 按 照 这 种 方法 索引 号 没有 改变 ，Alice 
和 Bob 现 在 相互 确认 对 方 的 身份 ， 他 们 就 有 一 个 用 于 通信 的 秘密 窗 铀 。 


3.3.5 Kerberos 协议 


Kerberos 是 Needham-Schroeder 协 议 的 变型 ， 将 在 24.5 节 中 详细 讨论 
它 。 在 基本 的 Kerberos 第 5 版 本 的 协议 中 ，Trent 和 Alice 每 人 与 Trent 各 共 
享 一 个 密 钥 。Alice 想 产生 会 话 密 钥 用 于 与 Bob 通 信 : 


(1) Alice 将 她 的 名 字 A 和 Bob 的 名 字 B 发 送 给 Trent: A, Bo 


(2) Trent 产生 消息 ， 该 消息 由 时 间 标 记 IT、 使 用 寿命 L、 随 机 会 话 
密 钥 K 和 Alice 的 名 字 构 成 。 他 用 与 Bob 共 享 的 密 钥 加 密 朱 息 。 然 后 ， 他 
取 时 间 标 记 、 使 用 寿命 、 会 话 密 钥 和 Bob 的 名 字 ， 并 且 用 他 与 Alice 共 享 
的 密 钥 加 密 ， 并 把 这 两 个 加 密 消息 发 给 Alice: Ea (T, L, K, B), 


Ea. (T L Rs AY x 





(3) Alice 用 她 的 名 字 和 时 间 标 记 产 生 消 息 ， 并 用 K 对 它 进行 加 


将 它 发 送 给 Bob。Alice 也 将 从 Trent 那里 来 的 用 Bob 的 密 钥 加 密 的 消 
/人 


息 发 送 给 Bob: Ex (A, T) , Eg (T, L, K, AD © 


(4) Bob 用 K 对 时 间 标 记 递 增 1 的 消息 进行 加 密 ， 并 将 它 发 送 给 
Alice: Ex (T+1) 。 


这 个 协议 是 可 行 的 ， 但 它 假设 每 个 人 的 时 钟 都 与 Trent 的 时 钟 同 步 。 
实际 上 ， 这 个 结果 是 通过 把 时 钟 同步 到 一 个 安全 的 定时 服务 器 的 几 分 钟 
之 内 ， 并 在 这 个 时 间 间 隔 内 检测 重 放 而 获得 的 。 





3.3.6 ”Neuman-Stubblebine 协 议 


不 管 是 由 于 系统 缺陷 还 是 由 于 破坏 ， 时 钟 可 能 变 得 不 同步 。 如 果 时 
钟 不 同步 ， 这 些 协 议 的 大 多 数 都 可 能 受到 攻击 A 。 如 果 发 送 者 的 时 
钟 比 接收 者 的 时 钟 超前 ，Mallory 就 能 够 截取 从 发 送 者 来 的 消息 ， 当 时 
间 标 记 变 成 接收 者 站 点 当前 时 间 时 ，Mallory 重 放 消 妃 。 这 种 攻击 叫做 
隐瞒 重 放 Csuppress-replay) ， 并 有 使 人 气愤 的 结果 。 





这 个 协议 首先 在 [L820」 中 提出 ， 并 在 L1162」 中 改进 以 试图 反击 
这 种 隐瞒 攻击 。 它 是 Yahalom 协 议 的 增强 ， 是 一 个 非常 好 的 协议 : 


(1) Alice 把 她 的 名 字 和 随机 数 一 起 发 送 给 Bob: A, Ra o 


(2) Bob 把 Alice 的 名 字 连 同 她 的 随机 数 以 及 一 个 时 间 标 记 一 起 ， 


用 他 与 Trent 共享 的 密 钥 加 密 ， 并 把 加 密 的 结果 、 他 的 名 字 和 一 个 新 的 随 
机 数 一 起 发 给 Trent: B, Rg» Eg (A, Ra» Tp) 。 


(3) Trent 产生 随机 会 话 密 钥 ， 然 后 产生 两 个 消息 ， 第 一 个 消息 由 
Bob 的 名 字 、Alice 的 随机 数 、 随 机 会 话 密 钥 和 时 间 标 记 组 成 ， 所 有 这 些 
消息 用 他 与 Alice 共 享 的 密 钥 加 密 ; 第 二 个 消息 由 Alice 的 名 字 、 会 话 密 
铀 和 时 间 标 记 组 成 ， 所 有 这 些 消息 用 他 与 Bob 共 享 的 密 钥 加 密 。 他 将 这 
两 个 消息 和 Bob 的 随机 数 一 起 发 送 给 Alice: Ea (B, Ra» K, Tp) ， 


En CAs ‘Ky Tede Ras 


(4) Alice 解 密 用 她 的 密 钥 加 密 的 消 轧 ， 提 取 密 铀 K， 并 确认 RA 与 
她 在 第 (1) 步 中 的 值 相同 。Alice 发 送 给 Bob 两 个 消息 ， 第 一 个 是 从 
Trent 那 里 接收 的 用 Bob 的 密 钥 加 密 的 消息 ， 第 二 个 是 用 会 话 密 钥 K 加 密 
的 Rg: Es (A, K: Ty) Ex (Rp) o 


(5) Bob 解 密 用 他 的 密 钥 加 蜜 的 消 妃 ， 提 到 密 铀 K， 并 确认 Te 和 
Rg (2) 中 的 值 相 同 。 


假设 随机 数 和 时 间 标 记 都 匹配 ，Alice 和 Bob 就 会 相信 对 方 的 号 份 ， 








这 个 协议 的 好 处 是 : FE FREE TIC HEIN TAAL, Alice ies H MA 
Trent 那里 接收 的 消息 与 Bob 做 后 续 的 鉴别 。 假 设 Alice 和 Bob 完 成 了 上 面 


的 协议 和 通信 ， 然 后 终止 连接 ，Alice 和 Bob 也 不 必 依 赖 Trent， 就 能 够 在 
3 步 之 内 重新 鉴别 : 


(1) Alice 将 Trent 在 上 述 〈3) 中 发 给 她 的 消息 和 一 个 新 的 随机 数 
发 送 给 Bob: Rg (A, K, Tg), ，R'A 。 


(2) Bob 发 送 给 Alice 另 一 个 新 的 随机 数 ， 并 且 Alice 的 新 随机 数 用 
他 们 的 会 话 密 钥 加 密 : Rpg» Ex R'a) 。 


(3) Alice 用 他 们 的 会 话 密 钥 加 密 Bob 的 新 随机 数 ， 并 把 它 发 给 
Bob: Ex (R'p) o 


新 随机 数 防 止 了 重 放 攻 击 。 


3.3.7. DASS 协 议 


分 布 式 鉴别 安全 协议 (Distributed Authentication Security Service, 
DASS) 是 由 数字 设备 公司 开发 的 ， 它 也 提供 相互 鉴别 和 密 钥 交换 
L604, 1519. 1518] 。 与 前 面 的 协议 不 同 ，DASS 协 议 同 时 使 用 了 公开 密 钥 
和 对 称 密码 术 。Alice 和 Bob 每 人 有 一 个 私人 密 钥 ，Trent 有 他 们 公开 密 钥 
签名 的 副本 。 


(1) Alice 发 送 消息 给 Trent， 这 个 消息 由 Bob 的 名 字 组 成 : B。 


(2) Trent 把 Bob 的 公开 密 钥 KB 发 给 Alice， 并 用 自己 的 私人 密 钥 T 
签名 。 签 名 消息 包括 Bob 的 名 : Sp (B, Kp) 。 


(3) Alice 验 证 Trent 的 签名 以 确认 她 接收 的 密 钥 确实 是 Bob 的 公开 
密 钥 。 她 产生 随机 会 话 密 钥 K 和 公开 密 钥 / 私人 密 钥 对 Kp ， 她 用 K 加 密 
时 间 标 记 ， 然 后 用 她 的 私人 密 钥 KA 对 密 钥 的 寿命 周期 L、 她 的 名 字 和 
Kp 签名 。 最 后 ， 她 用 Bob 的 公开 密 钥 K 加 密 ， 并 用 Kb 签名 。 她 将 所 有 这 
些 消息 发 给 Bob: Ex (Ta) > Ska (L, A, Kp) > Skp (Exp 
CK). 2. 4 


(4) Bob 发 送 消 息 给 Trent 〈 这 可 能 是 另 一 个 Trent) ， 它 由 Alice 的 
名 字 组 成 : Ao 


(5) Trent 把 Alice 的 公开 和 密 钥 Kp 发 送 给 Bob， 并 用 自己 的 私人 密 角 
T 签 名。 签名 消息 包括 Aliee 的 名 字 : Sp (A, Ka) 。 





(6) Bob 验 证 Trent 的 签名 以 确认 他 接收 的 密 铀 确实 是 Alice 的 公开 
密 钥 。 然 后 他 验证 Alice 的 签名 并 恢复 Kp 。 他 验证 签名 并 用 他 的 私人 密 
钥 恢复 K。 然 后 解密 TA 以 确信 这 是 当前 的 消息 。 


(7) 如 果 需 要 相互 鉴别 ，Bob 用 K 加 密 新 的 时 间 标 记 ， 并 把 它 送 给 
Aliee: Ex (Tp) o 


(8) Alice 用 K 解 密 Tp 以 确信 消息 是 当前 的 。 


DEC 公司 的 SPX 产 品 基于 DSSA 鉴 别 协议 。 其 他 信息 可 在 [34] 中 
找到 。 


3.3.8 ”Denning-Sacco 协 议 

这 个 协议 也 使 用 公开 密 钥 密码 [461」 。Trent 保 存 每 个 人 的 公开 密 
钥 数据 库 。 

(1) Alice 发 送 一 个 有 关 她 和 Bob 名 字 的 消息 给 Trent: A, Bo 


(2) Trent 把 用 上 自己 的 私人 密 钥 T 签 名 的 Bob 的 公开 密 钥 Ks 发 给 
Alice， 同 时 也 把 用 自己 的 私人 密 钥 T 签 名 的 Alice 的 公开 密 钥 KA 发 给 
Alice: Sp (B, Kn) >» Sp (A, Ky) « 


(3) Alice 回 Bob 传送 随机 会 话 密 铀 、 时 间 标 记 《〈 都 用 她 自己 的 私 
人 密 钥 签名 并 用 Bob 的 公 钥 加 密 ) 和 两 个 签名 的 公开 密 钥 : Ep (SA 
Ce TB (By Ke Sy Che Kes 


(4) BobFH fh AYA Aaa AR Alice TE, Aa Alice) A773 
钥 验 证 她 的 签名 。 他 检查 以 确信 时 间 标 记 仍 有 效 。 


这 里 Alice 和 Bob 两 人 都 有 密 钥 ， 他 们 能 够 安全 地 通信 。 





这 看 起 来 很 好 ， 但 实际 不 是 这 样 的 。 在 和 Alice 一 起 完成 协议 后 ， 


Bob 能 够 伪装 是 Alice [5] 。 
注意 : 
(1) Bob 把 他 自己 和 Carol 的 名 字 发 给 Trent: B, Co 


(2) Trent 把 Bob 和 Carol 已 签名 的 公开 密 钥 发 给 Bob: Sp (B, Kg 


J s Se (Cp Ke) 3 


(3) Bob 将 以 前 从 Alice 那 里 接收 的 会 话 密 钥 和 时 间 标 记 的 签名 用 
Carol 的 公开 密 钥 加 密 ， 并 与 Alice 和 Carol 的 证 书 一 起 发 给 Carol: Ec 


(Sa CR Ty) 0-5. Sr (hh Ka) > Se (Cs Kejo 


(4) Carol 用 她 的 私人 密 钥 解密 Alice 的 消息 ， 然 后 用 Alice 的 公开 密 
钥 验 证 她 的 签名 。 她 检查 以 确信 时 间 标 记 仍 有 效 。 


Carol 现 在 认为 她 正在 与 Alice 交 谈 ，Bob 成 功 地 欺骗 了 她 。 事 实 上 ， 
在 时 间 标 记 截 止 前 ，Bob 可 以 欺骗 网 上 的 任何 人 。 


这 个 问题 容易 解决 。 在 “3) 中 的 加 密 消息 内 加 上 名 字 : Eg (SA 
(A, B, K, Ta) ) Sp (A, Ka) , Sr (B, Ka a 


这 样 就 清楚 地 表明 是 Alice 和 Bob 在 通信 ， 所 以 现在 Bob 就 不 可 能 对 
Carol 重 放 旧 消息 。 


3.3.9 Woo-Lam 协 议 


这 个 协议 也 使 用 公开 密 铀 密码 [1600 1611] ， 


(1) Alice 发 送 一 个 有 关 她 和 Bob 名 字 的 消息 给 Trent: A, Bo 





(2) Trent 用 他 的 私人 密 钥 T 对 Bob 的 公开 密 钥 签名 ， 然 后 把 它 发 给 
Alice: ST (Kp ) o 


(3) Alice 验 证 Trent 的 签名 ， 然 后 把 她 的 名 字 和 一 个 随机 数 用 Bob 
的 公开 密 钥 加 密 ， 并 把 它 发 给 Bob: Exp CA, Ra ) o 


(4) Bob 把 他 的 名 字 、Alice 的 名 字 和 用 Trent 的 公开 密 钥 Kr 加 密 的 
Alice 的 随机 数 一 起 发 给 Trent: A, B, Ext (Ra ) o 


(5) Trent 把 用 自己 的 私人 密 钥 签名 的 Alice 的 公开 密 钥 KA 发 给 
Bob， 同 时 用 私人 密 钥 对 所 有 Alice 的 随机 数 、 随 机 会 话 密 钥 、Alice 的 名 
字 和 Bob 的 名 字 签 名 并 用 Bob 的 公开 密 钥 加 密 ， 并 把 它 也 发 给 Bob: Sr 
(Ka) o Eee (Ss ‘Rix Ki. Ay BY 2 


(6) Bob 验 证 Trent 的 签名 。 然 后 他 将 第 〈5) 步 中 Trent 消息 的 第 二 
部 分 和 一 个 新 随机 数 一 起 用 Alice 的 公开 密 钥 加 密 ， 并 将 结果 发 给 
Alice: Eka (ST (RA, K, A, B) ’ Rp ) o 





(7) Alice 验 证 Trent 的 签名 和 她 的 随机 数 。 然 后 她 将 第 二 个 随机 数 


用 会 话 密 钥 K 加 密 ， 并 发 给 Bob: Ex (Rg) o 


(8) Bob 解 密 他 的 随机 数 ， 并 验证 它 没有 改变 。 


3.3.10 ”其 他 协议 


已 有 文献 中 有 许多 其 他 协议 。X.509 协 议 在 24.9 节 中 讨论 ， 
KryptoKnight 在 24.6 节 中 讨论 ， 加 密 密 钥 交换 在 22.5 节 中 讨论 。 





Kuperee [694」 是 一 个 新 的 公开 密 钥 协议 。 此 外 ， 有 关 使 用 信 标 
(beacon) 的 协议 工作 也 正在 开展 ， 信 标 是 一 个 可 信 的 网 络 节点 ， 它 不 
断 地 广播 已 鉴别 的 nonce 1783) 。 





3.3.11 学 术 上 的 教训 


在 以 上 的 协议 中 ， 那 些 被 破译 的 和 没有 被 破译 的 协议 都 有 一 些 重 大 
的 教训 : 


因为 设计 者 试图 设计 得 太 精 巧 ， 所 以 许多 协议 失败 了 。 他 们 通过 
省 去 重要 的 部 分 : 名 字 、 随 机 数 等 来 优化 他 们 的 协议 ， 但 矫 枉 过 正 了 


[43. 44] : 


试图 优化 绝对 是 一 个 可 怕 的 陷阱 ， 并 且 全 部 命运 依赖 于 你 所 做 的 
假设 。 例如， 如 果 你 有 鉴别 的 时 间 ， 你 就 可 以 做 许多 你 没 去 做 也 做 不 到 


的 事情 。 


选择 的 协议 依赖 于 底层 的 通信 体系 结构 。 你 难道 不 想 使 消 恕 的 大 
小 和 数量 最 小 吗 ? 所 有 人 ， 还 是 只 有 其 中 的 几 个 人 能 够 交谈 ? 


类 似 这 些 问题 导致 了 协议 分 析 形 式 化 方法 的 开发 。 


3.4 ”鉴别 和 密 钥 交换 协议 的 形式 化 分 析 


在 网 络 上 的 一 对 计算 机 (和 人 ) 之 间 建 并 安全 的 会 话 密 钥 问 题 是 如 
此 的 重要 ， 以 至 于 引发 出 许多 研究 。 有 些 研究 着 重 开 发 协议 ， 例 如 开发 
3.1~~3.3 市 中 讨论 的 那些 协议 。 这 又 导致 了 更 大 和 更 多 有 趣 的 问题 ， 鉴 
别 和 密 钥 交换 协议 的 形式 化 分 析 。 在 提出 似乎 是 安全 的 协议 之 后 ， 人 们 
发 现 了 这 些 协 议 的 缺陷 ， 研 究 人 员 想 要 得 到 从 开始 束 能 证 明 协 议 安 全 性 
的 各 种 工具 。 虽 然 很 多 这 种 工作 都 能 应 用 到 一 般 的 密码 协议 中 ， 但 是 研 
完 的 重点 却 训 无 例外 地 放 在 鉴别 和 密 钥 交换 上 。 





对 密码 协议 的 分 析 有 四 种 基本 途径 10] : 


C1) 使 用 规范 语言 和 验证 工具 建立 协议 模型 和 验证 协议 ， 它 不 是 
特别 为 密码 协议 分 析 设计 的 。 





D 开 友 专家 系统 ， 协 议 设计 者 能 够 用 它 来 调 伍 和 研究 不 同 的 情 


(3) 用 分 析 知 识 和 信任 的 逻辑 ， 建 立 协议 族 的 需求 模型 。 





(4) 开发 形式 化 方法 ， 它 基于 密码 系统 的 代数 重 写 项 性 质 。 


关于 这 四 种 途径 的 详细 讨论 和 围绕 它们 的 研究 远 远 超 出 了 本 书 的 范 


围 。 文 献 [1047、1355」 对 这 个 题目 做 了 很 好 的 介绍 。 这 里 只 简要 提 太 


这 个 领域 的 主要 作用 。 








第 一 种 途径 把 密码 学 协议 与 其 他 计算 机 程序 同等 对 待 ， 并 试图 证 明 
它 的 正确 性 。 有 些 研究 者 把 协议 表示 为 有 限 状态 机 11449 1565] ， 有 些 
人 使 用 一 阶 判定 微 积分 [822」 ， 还 有 一 些 人 使 用 规范 语言 来 分 析 协 议 
Lisse] 。 然 而 证 明正 确 性 与 证 明 安全 性 不 同 ， 并 且 这 个 方法 对 于 发 现 
许多 缺陷 的 协议 来 说 是 行 不 通 的 。 虽 然 这 种 途径 最 早 被 广泛 研究 ， 但 这 
个 领域 的 大 多 数 工 作 已 经 转 问 获得 普及 的 第 三 种 途径 。 


第 二 种 途径 是 使 用 专家 系统 来 确定 协议 是 否 能 达到 不 合乎 需要 的 状 
态 《〈 例 如 ， 密 钥 的 泄露 ) 。 虽 然 这 种 途径 能 够 更 好 地 识别 缺陷 ， 但 它 既 
不 能 保证 安全 性 ， 又 不 能 为 开发 攻击 提供 技术 。 它 的 好 处 在 于 决定 协议 
是 否 包 含 已 知 的 缺陷 ， 但 不 可 能 发 现 未 知 的 缺陷 。 这 种 途径 的 例子 可 在 
文献 L987, 1521] 中 找到 。 文 献 [1092] 讨论 了 一 个 由 美国 军 方 开发 
的 基于 规则 的 系统 ， 这 个 系统 叫做 询问 器 。 





第 三 种 途径 到 目前 为 止 是 最 流行 的 ， 它 是 由 Michael Burrows、 
Martin Abadi 和 Roger Needham 首 先 发 明 的 。 为 了 进行 知识 和 信任 分 析 ， 
他 们 开发 了 一 个 形式 化 逻辑 模型 ， 叫 做 BAM 逻 辑 (BAM logic) L283、 
284] 。BAM 逻 辑 是 分 析 鉴 别 协议 时 最 广泛 应 用 的 逻辑 。 它 假设 鉴别 是 
完整 性 和 新 鲜 度 的 函数 ， 并 使 用 逻辑 规则 来 对 贯 罕 协 议 的 那些 属性 的 双 
方 进 行 跟踪 。 虽 然 已 经 提出 了 这 种 途径 的 许多 变化 和 扩展 ， 但 大 多 数 协 


议 设 计 者 仍 在 引用 最 初 的 研究 。 


BAM 氨 辑 并 不 提供 安全 性 证 明 ， 它 只 推出 鉴别 。 它 具有 易于 使 用 
的 、 简 单 的 、 明 了 的 逻辑 ， 对 于 发 现 缺 陷 仍然 有 用 。BAM 多 辑 包 括 以 


下 一 些 命题 : 


Alice 相 信 X (Alice 装 作 好 像 X 是 正确 的 )。 


Alice 看 X〈( 茶 人 已 经 把 包含 X 的 消 恩 及 给 Alice，Alice 可 能 在 解密 消 
Ra, fewest HX) 。 


Alice 说 X〔( 在 某 一 时 间 ，Alice 发 送 包 括 命题 X 的 消息 。 不 知道 消息 
在 多 早 以 前 兽 被 发 送 过 ， 或 者 在 协议 当前 运行 期 间 发 送 的 。 已 经 知道 ， 
当 Alice 说 X 时 ，Alice 相 信 X) 。 








X 是 新 的 《在 当前 运行 协议 以 前 的 任何 时 间 X 没 有 把 消 恩 发 送出 
2 


ee 


BAM 逻 辑 也 为 协议 中 有 关 信 任 推理 提供 规则 。 这 些 规则 能 够 应 用 
到 协议 的 逻辑 命题 ， 证 明 事 情 或 回答 有 关 协 议 的 问题 。 例 如 ， 消 轧 内 涵 
的 规则 是 : 


如 果 Alice 相 信 Alice 和 Bob 共 享 秘 密 密 钥 K，Alice 看 见 用 K 加 密 的 


X， 而 Alice 没 有 用 K 加 密 X， 那 么 Alice 相 信 了 Bob 曾 经 说 过 X。 
另 一 个 规则 是 随机 数 验 证 规则 (nonce-verification rule) : 


如 果 Alice 相 信 X 只 在 最 近 被 发 送 ， 并 且 Bob 曾 经 说 过 X， 那 么 Alice 
就 认为 Bob 相 信义。 


用 BAM 逻 辑 进 行 分 析 分 四 步 进 行 : 

(1) 采用 以 前 描述 的 命题 ， 把 协议 转换 为 理想 化 形式 。 

D 加 上 有 关 协 议 初 始 状 态 的 所 有 假设 。 

(3) 把 逻辑 公 却 放 到 命题 中 : 在 每 个 命题 后 断言 系统 的 状态 。 


(4) 为 了 发 现 协议 各 方 持 有 的 信任 ， 运 用 逻辑 基本 原理 去 断言 和 


假设 。 





BAM 逻 辑 的 作者 “把 理想 化 的 协议 看 做 比 在 文献 中 发 现 传统 的 描述 
更 清楚 和 更 完善 的 规范 ..….” 283、284」 。 其 他 协议 没有 这 种 印记 ， 并 
因为 这 个 步骤 不 可 能 正确 地 反映 实际 的 协议 而 批评 它 .1161、1612]」 。 在 
文献 [221、1557] 中 有 进一步 的 争论 。 其 他 批评 试图 表明 ，BAM 这 辑 
可 能 推导 出 关于 协议 明显 错误 的 特征 SH ， 见 文献 [285、1509] 的 
辩驳 。 并 且 BAM 和 逻辑 只 涉及 信任 ， 而 与 安全 性 无 关 [1509」 。 在 文献 
[L1488、706、1002」 中 有 更 多 这 方面 的 争论 。 


尽管 有 这 些 批评 ，BAM 逮 辑 仍 是 成 功 的 。 它 已 经 在 多 种 协议 中 发 
现 缺 陷 ， 这 些 协议 包括 Needham-Schtroeder 和 一 个 早期 的 协议 草案 
CCITT X.509 °°! 。 它 已 经 发 现 很 多 协议 中 的 宛 余 ， 这 些 协 议 包 括 
Yahalom、Needham-Schroeder 和 Kerberos。 许 多 人 的 文章 使 用 BAM 逮 
辑 ， 声 称 他 们 协议 的 安全 性 [40、1162、73] 。 





也 公布 了 其 他 逻辑 系统 ， 有 些 设 计 成 为 BAM 逻 辑 的 扩展 L645 586, 
1556、828」 ， 另 一 些 是 基于 BAM 逮 辑 去 改进 发 现 的 弱点 -1488、1002」 。 
虽然 GNY 有 一 些 缺 点 [40」 ， 但 它 是 这 些 当 中 最 为 成 功 的 一 个 [645] 。 
文献 L292、474j」 提 出 应 将 概率 信任 加 到 BAM 逻 辑 中 ， 以 配合 成 功 ; 
在 文献 L156、798、288」 中 讨论 了 其 他 形式 的 逻辑 ， 文 献 [1514] 试 
图 把 多 个 逻辑 的 特点 结合 起 来 ， 文 献 [1124、1511j」] 提出 了 信任 能 够 随 
时 间 而 改变 的 逻辑 。 


密码 协议 分 析 的 第 四 种 途径 是 把 协议 当做 代数 系统 模型 ， 表示 有 关 
协议 参与 者 了 解 的 状态 ， 然 后 分 析 某 种 状态 的 可 达 性 。 这 种 途径 没有 像 
形式 化 逻辑 那样 引起 更 多 的 注意 ， 但 情况 正在 改变 。 它 首先 由 Michael 
Merritt 使 用 .1076」， 他 证 明代 数 模 型 可 用 来 分 析 密 码 协 议 。 其 他 途径 
在 文献 [473、1508、1530、1531、1532、1510、1612] 中 有 描述 








海军 研究 试验 室 (Navy Research Laboratory, NRL) 的 协议 分 析 器 
可 能 是 这 些 技术 中 最 成 功 的 应 用 【1512、823、1046、1513」 ， 它 用 来 在 各 种 
协议 中 寻找 新 的 和 已 知 的 缺陷 [1044、104、1047」 。 这 台 协 议 分 析 器 定义 


了 下 面 的 行为 : 


.接收 (Bob, Alice, M, N) 。 (Bob 在 N 地 附近 ， 接 收 消息 M 作 为 
来 自 Alice 的 消息 。) 


.获悉 (Eve, M) 。 (Eve 获悉 M。 ) 


:发 送 (Alice，Bob，Q，M) 。 (根据 查询 Q，Alice 发 送 M 给 
Bob。) 


-JR (Bob, Alice, Q, N) > (Bob 在 N 地 附近 ， 发 送 Q 给 


Alice. ) 


从 这 些 行为 中 ， 可 以 确定 需求 。 例 如 : 


.如 果 Bob 在 过 去 某 些 点 接收 到 从 Alice 来 的 消息 M， 那 么 Eve 在 过 去 


某 些 点 没有 获悉 M 。 





:如 果 Bob 在 他 的 N 地 附近 接收 到 从 Alice 来 的 消 晨 M， 那 么 Alice 给 
Bob 发 送 M 作 为 Bob 在 N 地 附近 查询 的 响应 。 


为 了 使 用 NRL 协 议 分 析 器 ， 必 须 按 以 前 的 结构 规定 协议 。 分 析 有 四 
个 步骤 : 为 诚实 的 参与 者 定义 传送 :描述 对 所 有 诚实 和 不 诚实 参与 者 可 
得 到 的 操作 ， 描 述 基 本 的 协议 构造 部 件 ， 描 述 还 原 规则 (reduction 
rule) 。 所 有 这 些 要 说 明 的 是 已 知 的 协议 要 与 它 的 需求 相符 。 采 用 像 








NRL 协 议 分 析 器 这 样 的 工具 ， 最 终 会 产生 一 个 能 够 证 明 是 安全 的 协议 。 





采用 形式 化 方法 对 已 有 协议 进行 分 析 的 同时 ， 用 形式 化 方法 来 设计 
协议 的 工作 也 正在 开展 。 文 献 L711j」 中 描述 了 这 个 方向 的 初步 成 果 ， 
NRL 协 议 分 析 器 也 正 尝 试 这 样 做 【1522、222、1513]。 





将 形式 化 方法 应 用 在 密码 学 协议 中 仍 是 一 个 很 新 的 概念 ， 并 且 也 很 
难 确定 它 将 来 的 发 展 趋势 。 从 这 一 点 来 说 ， 形 式 化 过 程 是 最 薄弱 的 环 


+ 


Tis 





3.5 SHAT RARER 


公开 密 钥 密码 系统 使 用 两 个 密 钥 ， 用 一 个 密 钥 加 密 的 消息 能 用 男 一 
个 密 钥 解密 。 通 常 一 个 密 钥 是 私有 的 ， 而 男 一 个 是 公开 的 。 我 们 假设 
Alice 有 一 个 密 钥 ，Bob 有 男 一 个 ， 那 么 Alice 能 够 加 密 消 轧 ， 并 且 只 有 


Bob 能 把 它 解 密 ， 反 过 来 Bob 能 够 加 密 消息 ， 只 有 Alice 能 读 它 。 


Colin Boyd 推 广 了 这 个 概念 “217」 。 设 想 一 种 具有 三 个 密 钥 KA > 


Kp 和 Kc 的 公开 密 钥 密码 的 变 体 。 表 3-2 给 出 了 它 的 分 配 。 





Alice 可 以 用 KA 加 密 消 息 以 便 Ellen 用 Kp 和 Kc 解密 此 消息 。 这 样 
Bob 和 Carol 可 能 冲突 。Bob 能 对 消息 加 和 密 以 便 Frank 能 读 它 ，Carol 也 能 加 
密 消 息 以 便 Dave 能 读 它 。Dave 能 用 KA 加 密 消 息 以 便 Ellen 能 读 它 ， 由 于 
有 KA ，Frank 也 能 读 它 ， 或 者 Dave 同 时 用 KA 和 Kp 加 密 以 便 Carol 能 读 
它 。 类 似 地 ，Ellen 能 够 加 密 消 轧 以 便 Alice 和 Dave 或 者 Frank 能 读 它 。 表 
3-3 归 纳 了 所 有 可 能 的 组 合 。 


表 3-2 三 个 密 钥 的 密 钥 分 配 


人 名 a 4H 


Alice Ka 
Bob Kp 
Carol Ke 
Dave Ka 和 天 
Ellen Ks 和 Kc 
Frank Ka All Ke 


表 3-3 ”三 个 密 钥 的 消息 加 密 


用 作 加 蜜 的 密 负 必须 用 的 解密 密 铀 
Ka Kg Fil Kc 
Kp Ka Al Ke 
Ke Ka ÑM Kpg 
Ka Fil K p Ko 
KA 和 Kc Kpg 
Kg M Ke Ka 


这 可 以 推广 到 n 个 密 钥 ， 如 果 密 钥 的 某 个 子 集 用 来 加 密 消 轧 ， 那 么 
就 需要 用 其 他 密 钥 来 解密 此 消息 。 


) HE 


假设 有 100 个 工人 在 野外 作业 ， 你 想 给 他 们 当中 的 一 些 人 发 送 消 
垦 ， 但 预先 并 不 知道 该 向 哪些 人 发 。 可 以 为 每 个 人 单独 加 密 消 息 或 者 为 


每 种 可 能 的 组 合 都 给 出 密 钥 。 第 一 种 选择 需要 增加 很 多 通信 量 ， 第 二 种 
选择 需要 很 多 密 钥 。 














采用 多 密 钥 密码 方案 就 容易 得 多 ， 用 三 个 工人 : Alice、Bob 和 Carol 
来 举例 。 将 KA 和 KB Alice, Kp 和 Kec 给 Bob， 将 Kc 和 KA 给 Carol。 
现在 可 以 同 想 要 通信 的 任何 子 集 交谈 。 如 果 想 发 送 消息 只 有 Alice 能 读 
C, MAK. 加 密 此 消息 。 当 Alice 接 收 到 此 消息 时 ， 她 先 用 KA 然后 再 用 
Kp 解密 。 如 果 想 发 送 消 息 只 有 Bob 能 读 它 ， 就 用 KA 加 密 。 用 Ksp 加 密 
时 ， 只 有 Carol 才 能 读 它 。 如 果 发 送 消息 使 Alice 和 Bob 都 能 读 它 ， 就 用 
Ky 和 Kc 对 它 加 密 等 。 














这 可 能 不 会 有 什么 激动 人 心 的 地 方 ， 但 对 于 100 个 工人 来 说 ， 它 束 
非 闸 有 用 了 。 单 个 消息 意味 着 和 每 个 工人 共有 至 一 个 密 钥 总共 100 个 密 
钥 》 和 每 个 消息 。 密 钥 的 可 能 子 集 共有 2 -2 种 (针对 全 部 工人 的 消息 
和 不 对 工人 的 消 轧 除外 ) 。 而 这 个 方案 只 需要 一 个 加 密 消 息 和 100 个 不 
同 的 密 钥 ， 它 的 缺陷 是 你 不 得 不 广播 哪个 工人 的 子 集 能 够 读 消 轧 ， 否 
则 ， 每 个 工人 将 不 得 不 尝试 所 有 可 能 的 密 钥 组 合 ， 以 寻找 正确 的 一 组 密 
钥 。 甚 至 只 需 意向 接收 者 的 名 字 也 是 可 行 的 。 至 少 ， 为 了 实现 简单 ， 
个 人 实际 上 得 到 大 量 的 密 钥 数据 。 




















还 有 其 他 用 于 消 妃 广播 的 技术 ， 其 中 有 些 避 免 了 前 面 的 问题 ， 这 些 


将 在 22.7 节 中 讨论 。 


3.6 ”秘密 分 出 


设想 你 已 发 明了 一 种 新 的 、 特 别 粘 的 、 特 别 醋 的 奶油 饼 馅 ， 或 者 你 
己 经 制作 了 一 种 碎 肉 夹 饼 的 调味 料 ， 哪 介 它 比 竞 争 者 的 更 无 味 ， 但 最 重 
要 的 是 : 你 必须 保守 秘密 。 你 只 能 告诉 最 信赖 的 雇员 各 种 成 分 准确 的 调 
和 ， 但 如 果 他 们 中 的 一 个 背叛 了 你 投靠 到 对 手 一 方 时 怎么 办 呢 ? 秘密 就 
会 泄漏 ， 不 入 ， 每 个 出 售 黄油 的 地 方 将 做 出 和 你 的 一 样 无 味 的 调味 料 。 








这 种 情况 就 要 求 秘密 分 割 Csecret splitting) 。 有 各 种 方法 把 消息 分 
割 成 许多 碎片 H 。 每 一 片 本 身 并 不 代表 什么 ， 但 把 这 些 碎片 放 到 一 
块 ， 消 妃 就 会 重 现 出 来 。 如 果 消 息 是 一 个 秘方 ， 每 一 个 雇员 有 一 部 分 ， 
那么 只 有 它们 放 在 一 起 才能 做 出 这 种 调味 料 。 如 果 任 意 一 个 雇员 辞职 市 
走 一 部 分 配方 ， 它 本 喘 军 无 用 处 。 





在 两 个 人 之 间 分 割 消息 是 最 简单 的 共享 问题 。 下 面 是 Trent 把 消 妃 分 


割 给 Alice 和 Bob 的 协议 : 


(1) Trent 产生 随机 位 串 R， 它 和 消息 M 一 样 长 。 


(2) Trent 用 R 异 或 M 得 到 S: MO@R=S. 


(3) Trent 把 R 给 Alice， 将 S 给 Bob。 


为 了 重 构 此 消息 ，Alice 和 Bob 只 需 一 起 做 一 





(4) Alice 和 Bob 将 他 们 的 消息 异 或 就 可 得 到 此 消息 : ROS=M. 


如 果 做 得 适当 ， 这 种 技术 绝对 安全 。 每 一 部 分 本 吴军 无 价值 。 实 质 
上 ，Trent 是 用 一 次 一 密 乱 码 本 加 密 消 息 ， 并 将 密 文 给 一 个 人 人， 乱码 本 给 





男 一 个 人 。1.5 节 讨论 过 一 次 一 密 乱 码 本 ， 它 们 具有 完全 保密 性 。 无 论 
有 多 大 计算 能 力 痢 不 能 根据 消息 碎片 之 一 确定 此 消 忌 。 











把 这 种 方案 推广 到 多 人 也 很 容易 。 为 了 在 多 个 人 中 分 割 消 息 ， 将 此 


消息 与 多 个 随机 位 异 或 成 混合 物 。 在 下 面 的 例子 中 ，Trent 把 消息 划分 成 
四 部 分 


(1) Trent 产生 三 个 随机 位 串 R、S、T， 每 个 随机 串 与 消息 M 一 样 


(2) Trent 用 这 三 个 随机 串 和 M 异 或 得 到 U: MOROS OT=U. 

(3) Trent 将 U 给 Alice，S 给 Bob，T 给 Carol，U 给 Dave。 
Alice、Bob、Carol 和 Dave 在 一 起 可 以 重 构 此 消息 : 

(4) Alice、Bob、Carol 和 Dave 一 起 计算 : R@S@T@U=M。 


这 是 一 个 裁决 协议 ，Trent 有 绝对 的 权力 ， 并 且 能 够 做 他 想 做 的 任何 
事情 。 他 可 以 把 蝇 无 意义 的 东西 拿 出 来 ， 并 且 申 明 是 秘密 的 有 效 部 分 。 








在 他 们 将 秘密 重 构 出 来 之 前 ,没有 人 能 够 知道 它 。 他 可 以 分 别 交 给 
Alice、Bob、Carol 和 Dave 一 部 分 ， 并 在 以 后 告诉 每 一 个 人 ， 只 要 
Alice、Carol 和 Dave 三 人 束 可 以 重 构 出 此 秘密 ， 然 后 解雇 Bob 。 由 于 这 有 是 
由 Trent 分 配 的 秘密 ， 这 对 于 他 恢复 消 轧 是 没有 问题 的 。 





然而 ， 这 种 协议 存在 一 个 问题 : 如 果 任 何 一 部 分 丢失 了 ， 并 且 Trent 
又 不 在 ， 就 等 于 将 消息 丢掉 了。 如果 Carol 有 调味 料 配 方 的 一 部 分 ， 他 
跑 去 为 对 手工 作 ， 并 带 走 了 他 的 那 一 部 分 ， 那 么 其 他 人 就 很 不 乎 了， 她 
不 可 能 重新 产生 这 个 秘方 ，Alice、Bob 和 Dave 在 一 起 也 不 行 。Carol 的 那 
一 部 分 对 消息 来 说 和 其 他 部 分 一 样 重要 。Alice、Bob 和 Dave 知 道 的 仅 是 
消息 的 长 度 。 这 是 真 的 ， 因 为 R、S、T、U 和 M 都 有 同样 的 长 度 ， 见 到 
他 们 中 的 任何 一 个 都 知道 它 的 长 度 。 记 住 ，M 不 是 通常 单词 意义 的 分 
制 ， 它 是 用 随机 数 寞 或 的 。 











3.7 ”秘密 共享 


你 正在 为 核 导 弹 安 装 发 射程 序 。 你 想 确 信 一 个 疯子 是 不 能 够 启动 发 
射 ， 也 想 确 信 两 个 疯子 也 不 能 启动 发 射 。 在 你 允许 发 射 前 ， 五 个 官员 中 
BDA = EMF © 





TRE NAS a RA Td ee ll i» 2 TA BE 
人 一 把 钥匙 ， 并 且 在 允许 他 们 起 爆 时 ， 要 求 至 少 三 个 官员 的 钥匙 插入 合 

适 的 横 中 如 果 你 确实 担心 ， 可 以 使 这 些 槽 分隔 远 些 ， 并 要 求 官员 同时 
将 钥匙 插入 。 你 不 愿 一 个 官员 偷 禄 另 两 把 钥匙 ， 使 他 能 够 毁坏 多 伦 
多 


我 们 甚至 能 把 它 变 得 更 复杂 。 也 许 将 军 和 两 个 上 校 被 授权 发 射 导 
弹 ， 但 如 果 将 军 正 在 打 高 尔 夫 球 ， 那 么 司 动 发 射 需要 五 位 上 校 。 制 造 一 
个 发 射 控制 器 ， 该 发 射 器 需要 五 把 钥匙 。 给 将 军 3 把 钥 是 ， 给 每 位 上 校 
一 把 钥匙 。 将 苗 和 任何 两 位 上 校 一 起 就 能 发 射 导弹 。 五 位 上 校 一 起 也 
能 ， 但 将 苗 和 一 位 上 校 就 不 能 ， 四 位 上 校 也 不 行 。 


一 个 叫做 门限 方案 (threshold scheme) 的 更 复杂 的 共享 方案 ， 可 
在 数学 上 做 到 这 些 甚至 做 得 更 多 。 起 码 ， 你 可 以 取 任 何 消息 (秘密 的 秘 
方 、 发 射 代 码 、 洗 衣 价目 表 ) ， 并 把 它 分 成 n 部 分 ， 每 部 分 叫做 它 的 影 
F (shadow) 或 共 音 ， 这 样 它们 中 的 任何 mm 部 分 能 够 用 来 重 构 消息 ， 





更 准确 地 说 ， 这 叫做 Cm, n 门限 方案 。 


E (3，4) 门限 方案 来 说 ，Trent 可 以 将 他 的 秘密 调味 料 秘方 分 给 
Alice、Bob、Carol 和 Dave， 这 样 把 他 们 中 的 任意 三 个 影子 放 在 一 起 就 能 
重 构 消息 。 如 果 Carol 正 在 度假 ， 那 么 Alice、Bob 和 Dave 可 以 做 这 件 事 ; 
如 果 Bob 被 汽车 接 了 ， 那 么 Alice、Carol 和 Dave 能 够 做 这 件 事 ;， 然 而 如 果 
Carol 正 在 度假 期 间 ，Bob 被 汽车 撞 了 ，Alice 和 Dave 融 不 可 能 重 构 消 息 
1: 





普通 的 门限 方案 远 比 上 面 所 说 的 更 通用 。 任 何 共 孚 方案 都 能 用 它 构 
建 模型 。 你 可 以 把 消息 分 给 你 所 在 大 楼 中 的 人 ， 以 便 重 构 它 ， 你 需要 一 
楼 的 7 个 人 和 二 楼 的 5 个 人 人， 就 能 恢复 此 消息 。 如 果 有 从 三 楼 来 的 人 ， 在 
这 种 情况 下 ， 你 仅 需要 从 三 楼 来 的 那个 人 和 从 一 楼 来 的 3 个 人 及 从 二 楼 
来 的 2 个 人 ; 如果 有 从 四 楼 来 的 人 ， 在 这 种 情况 下 ， 你 仅 需 要 从 四 楼 来 
的 那个 人 和 从 三 楼 来 的 1 个 人 ， 或 从 四 楼 来 的 那个 人 和 从 一 楼 来 的 2 个 人 
及 从 二 楼 来 的 1 个 人 ;或 者 .…… 好 的 ， 你 明白 这 个 概念 了 。 











这 种 思想 是 由 Adi Shamir ‘1414! 和 George Blakley [182」 两 人 分 别 
创造 的 ， 并 由 Gus Simmons [1466」 做 了 更 广泛 的 研究 ，23.2 节 讨论 几 种 
不 同 的 算法 。 


3.7.1 有 骗子 的 秘密 共享 


有 许多 方法 可 欺骗 门限 方案 ， 下 面 是 其 中 的 儿 种 : 





情景 1 上校 Alice、Bob 和 Card 在 某 个 隔离 区 很 深 的 地 下 掩体 中 。 
一 天 ， 他 们 从 总 统 那里 得 到 编码 消息 :“ 发 射 那些 导弹 ， 我 们 要 根除 这 
个 国家 的 神经 网 络 研究 残余 。”Alice、Bob 和 Carol 出 示 他 们 的 影子 ， 但 
Carol 却 输入 一 个 随机 数 。 她 实际 上 是 和 平 主 义 者 ， 不 想 发 射 导弹 。 由 
于 Carol 没 有 输入 正确 的 影子 ， 因 此 他 们 恢复 的 秘密 是 错误 的 ， 导 弹 还 
是 停放 在 发 射 井 中 。 甚 至 更 糟糕 的 是 ， 没 有 人 知道 为 什么 会 这 样 。 即 使 
Alice 和 Bob 一 起 工作 ， 他 们 也 不 能 证 明 Carol 的 “影子 ”是 无 效 的 。 





情景 2， 上 校 Alice 和 Bob 与 Mallory 正 坐 在 掩体 中 。Mallory 假 装 也 是 
上 校 ， 其 他 人 都 不 能 识破 。 同 样 的 消息 从 总 统 那 里 来 了 ， 并 且 每 人 都 出 
示 了 他 们 的 影子 ，“ 哈 ， 哈 ! ”Mallory 大 叫 起 来 : “我 伪造 了 从 总 统 那里 
来 的 消息 ， 现 在 我 知道 你 们 两 人 的 影子 了 。*” 在 其 他 人 抓 住 他 以 前 ， 他 
(Re ERUPT 





情景 3 上校 Alice、Bob 和 Carol 与 Mallory 一 起 坐 在 掩体 中 ，Mallory 
又 是 伪装 的 〈 记 住 ，Mallory 没 有 有 效 的 影子 ) 。 同 样 的 消 轧 从 总 统 那 
里 来 了 ， 并 且 每 人 都 出 示 了 他 们 的 影子 ，Mallory 只 有 在 看 到 他 们 三 人 
的 影子 后 才 出 示 他 的 影子 。 由 于 重 构 这 个 秘密 只 需要 三 个 影子 ， 因 此 他 
能 够 很 快 地 产生 有 效 的 影子 并 出 示 。 现 在 ， 他 不 仅 知道 了 秘密 ， 而 且 没 
有 人 知道 他 不 是 这 个 方案 的 一 部 分 








处 理 这 些 欺骗 的 一 些 协 议 在 23.2 市 中 讨论 。 


3.7.2 ”没有 Trent 的 秘密 共享 


五 个 官员 中 有 三 个 人 插入 他 们 的 钥匙 ， 才 能 打开 银行 的 金库 。 这 上 听 
起 来 像 一 个 基本 的 “3，5) 门限 方案 ， 但 是 有 一 个 保险 装置 。 没 有 人 知 
道 整 个 秘密 ， 不 存在 Trent 来 把 秘密 分 成 五 部 分 ， 而 是 采用 一 种 五 个 官员 
可 以 产生 秘密 的 协议 ， 通 过 这 协议 ， 每 人 得 到 一 部 分 ， 使 得 官员 在 重 构 
它 之 前 ， 无 人 知道 这 个 秘密 “43」 。 本 书 不 准备 讨论 这 些 协 议 ， 详 细 资 
料 见 [756」。 











上 述 方案 有 一 个 问题 。 当 每 个 人 聚 到 一 起 重 构 他 们 的 秘密 时 ， 他 们 
暴露 了 他 们 的 共享 。 其 实 不 必 出 现 这 种 情况 。 如 果 共 享 秘密 是 私人 密 钥 
(例如 ， 对 数字 签名 〉 ， 那 么 n 个 共享 者 中 的 每 一 个 都 可 以 完成 文件 的 
一 部 分 签名 。 在 第 n 部 分 签名 后 ， 文 件 已 经 用 共享 的 私人 密 钥 签名 ， 并 
且 共 享 者 中 没有 人 了 解 任何 其 他 人 的 共享 。 秘 密 能 够 重用 是 关键 ， 并 且 
你 不 必用 可 信 的 处 理 器 去 处 理 它 。Yvo Desmedt 和 Yair Frankel 对 这 个 概 

ed 


从 


3.7.4 可 验证 的 秘密 共享 


Trent 给 Alice、Bob、Carol 和 Dave 每 人 一 部 分 〈 秘 密 ) ， 或 者 至 少 
他 说 他 这 样 做 了 。 他 们 中 的 任何 人 想 知 道 他 们 是 否 有 有 效 部 分 ， 唯 一 的 
办 法 是 尝试 重 构 秘密 。 也 许 Trent 发 给 Bob 一 个 假 的 共享 ， 或 者 由 于 通信 
音 误 ，Bob 偶 然 接收 到 一 个 坏 的 共享 。 可 验证 的 秘密 共享 允许 他 们 中 的 
每 个 人 分 别 验证 他 们 有 一 个 有 效 的 共享 ， 而 不 用 重 构 这 个 秘密 【558、 


1235] . 





3.7.5 ”和 带 预 防 的 秘密 共享 


一 个 秘密 被 分 给 50 个 人 ， 只 要 任何 10 个 人 在 一 起 ， 就 可 以 重 构 这 个 
秘密 。 这 样 做 是 容易 的 。 但 是 ， 当 增加 约束 条 件 ，20 人 在 一 起 才能 恢复 
秘密 同时 要 防止 其 他 重 构 秘密 时 ， 我 们 能 实现 这 个 秘密 共 至 方案 吗 ? 是 
否 多 少 人 共享 都 没有 问题 ? 已 经 证 明 ， 我 们 能 够 做 到 HS, 








数学 当然 十 分 复杂 ， 但 其 基本 思想 是 每 个 人 得 到 两 个 共享 ， 一 
个 “是 "和 一 个 “ 否 "的 共享 。 当 重 构 秘密 时 ， 每 个 人 提交 他 们 的 一 个 共 
享 。 他 们 提交 的 实际 共享 依赖 于 他 们 是 否 希望 重 构 秘 密 。 如 果 有 m 或 更 
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当然 ， 如 宋 没有 “人 否 ? 共 带 的 人 《假设 他 们 知道 是 谁 》， 没 有 任何 事 
情 能 防止 足够 数量 的 “是 ? 共 胖 的 人 外 牛角 尖 ， 去 重 构 秘 密 。 但 是 在 每 个 

















人 提交 他 们 的 共享 进入 中 心计 算 机 的 情况 下 ， 这 个 方案 是 可 行 的 。 


3.7.6 ”和 带 除 名 的 秘密 共享 


你 正在 安装 秘密 共 孚 系统 ， 现 在 你 想 解 雇 一 名 共享 者 。 你 可 以 安装 
没有 那个 人 的 新 方案 系统 ， 但 很 费时 。 有 多 种 方法 处 理 这 个 系统 ， 一 
有 一 个 参与 者 变 成 不 可 信 时 ， 人 允许 立即 启用 新 的 共享 方案 1004] 。 


3.8 ”数据库 的 密码 保护 


任何 组 织 的 成 员 数 据 库 都 是 有 价值 的 。 一 方面 ， 你 想 把 数据 库 分 配 
给 所 有 成 员 ， 他 们 互相 通信 ， 交 换 想 法 ， 互 相 邀 请 吃 黄瓜 三 明治 。 另 一 
方面 ， 如 末 把 成 员 数 据 库 分 配给 每 个 人 ， 副 本 必定 会 落 入 保险 商 或 其 他 
恼人 的 垃圾 邮件 供应 者 之 手 。 


密码 学 能 够 改善 这 个 问题 。 可 以 加 密 数 据 库 ， 使 它 易 于 提取 单个 人 
的 地 址 ， 而 难于 提取 所 有 成 员 的 邮件 名 单 。 


L550, 549] 的 方案 是 直截了当 的 。 选 用 一 个 单 问 散 列 函数 和 对 称 
加 密 算 法 。 数 据 库 的 每 个 记录 有 两 个 字段 。 索 引 字 段 是 成 员 的 姓 ， 用 单 
癌 散 列 函数 进行 运算 。 数 据 字段 是 全 名 和 成 员 的 地 址 ， 用 姓 作 为 密 钥 对 
数据 字段 加 密 。 除 非 你 知道 这 个 人 的 姓 ， 否 则 你 不 可 能 解密 数据 字段 。 











搜索 一 个 指定 的 姓 是 容易 的 。 首 移 ， 对 姓 进行 散 列 运算 ， 并 在 数据 
库 的 索引 字段 中 搜寻 散 列 值 。 如 果 匹 配 ， 那 么 这 个 人 的 姓 就 在 数据 库 
中 。 如 条 有 多 个 匹配 ， 那 么 就 有 多 个 人 同姓 。 最 后 ， 对 每 个 匹配 的 项 ， 
用 姓 作 为 密 钥 解密 出 全 名 和 地 址 。 








在 文献 L550] 中， 作者 采用 这 种 系统 对 6000 个 西班牙 动词 的 字典 
进行 保护 。 加 密 只 引起 很 小 的 性 能 降低 。 文 献 L549] 附加 的 复杂 性 就 





是 处 理 搜寻 多 个 索引 ， 但 思想 还 是 相同 的 。 这 个 系统 的 主要 问题 是 ， 当 
你 不 知道 怎么 拼写 他 们 的 名 字 时 ， 束 不 可 能 搜寻 所 要 找 的 人 。 你 可 以 安 
试 各 种 拼 法 ， 和 直到 你 找到 正确 的 拼 法 为 止 ， 但 是 当 你 搜寻 Schneier 时 ， 
扫描 所 有 以 Sch 开 头 的 名 字 并 不 实际 。 


这 种 保护 并 不 完善 。 茶 个 特别 固执 的 保险 商 通 过 尝试 所 有 可 能 的 
姓 ， 就 可 能 重 构成 员 数 据 库 。 如 有 果 他 有 电话 数据 库 ， 他 就 可 以 把 它 作为 
一 个 可 能 的 姓氏 表 来 建立 数据 库 。 在 计算 机 上 做 此 事 可 能 要 人 花费 几 星期 
时 间 ， 但 却 是 可 行 的 。 在 垃圾 邮件 社会 中 ， 做 这 种 工作 更 难 ， 而 且 “ 更 
难 ” 很 快 会 变 成 “< 太 贵 ”。 











文献 L185」 提 供 了 男 一 种 途径 ， 人 允许 在 加 密 的 数据 中 编辑 统计 数 


第 4 章 ” 中 级 协议 


4.1 时 间 标 记 服 务 





在 很 多 情况 中 ， 人 们 需要 证 明 某 个 文件 在 茶 个 时 期 存在 。 在 版 权 或 
专利 争端 中 ， 谁 有 产生 争议 工作 的 最 早 副本 ， 谁 就 将 局 得 官司 。 对 于 纸 
上 上 的 文件 ， 公 证 人 可 以 对 文件 签名 ， 人 律师 可 以 保护 副本 。 如 果 产 生 了 争 
端 ， 公 证 人 或 律师 可 以 证 明 茶 封 信 产生 于 茶 个 时 间 。 




















在 数字 世界 中 ， 事 情 要 复杂 得 多 。 没 有 办 法 检查 帘 改 签名 的 数字 文 
件 。 可 以 无 止境 地 复制 和 修改 数字 文件 而 无 人 发 现 。 在 计算 机 文件 上 改 
变 日 期 标记 是 轻而易举 的 事 ， 没 有 人 在 看 到 数字 文件 后 说 :“ 是 的 ， 这 
个 文件 是 在 1952 年 12 月 4 日 以 前 创建 的 。” 





贝尔 通信 研究 中 心 的 Stuart Haber 和 Wo.Scott Stornetta 考 虑 了 这 个 问题 
[682、683、92」 。 他 们 认为 数字 时 间 标 记 协议 具有 下 列 三 个 性 质 : 








数据 本 里 必须 有 时 间 标 记 ， 而 不 用 考虑 它 所 用 的 物理 媒介 。 





改变 文件 的 1 个 位 而 文件 却 没 有 明显 变化 是 不 可 能 的 。 


-不 可 能 用 不 同 于 当前 日 期 和 时 间 的 日 期 和 时 间 来 标记 文件 。 


4.1.1 仲裁 解雇 方法 


这 个 协议 需要 Trent 和 Alice，Trent 提 供 可 信 的 时 间 标 记 服 务 ，Alice 
希望 对 文件 加 上 时 间 标 记 : 


(1) Alice 将 文件 的 副本 传送 给 Trent。 


(2) Trent 将 他 收 到 文件 的 日 期 和 时 间 记 录 下 来 ， 并 妥善 保存 文件 
的 副本 。 


现在 ， 如 果 有 人 对 Alice 所 声明 的 文件 产生 的 时 间 有 怀疑 ，Alice 只 
要 打 电 话 给 Trent，Trent 将 提供 文件 的 副本 ， 并 证 明 他 在 标记 的 日 期 和 
时 间接 收 到 文件 。 


这 个 协议 是 可 行 的 ， 但 有 些 明 显 的 问题 。 第 一 ， 没 有 保密 性 。Alice 
不 得 不 将 文件 的 副本 交 给 Trent。 在 信道 上 贸 听 的 任何 人 都 可 以 读 它 。 她 
可 以 对 文件 加 密 ， 但 文件 仍 要 放 入 Trent 的 数据 库 中 ， 谁 知道 这 个 数据 库 
有 多 安全 ? 

















第 三 ， 存 在 潜在 的 错误 。 传 送 错误 或 Trent 的 中 央 计 算 机 中 某 些 地 方 
的 电磁 炸弹 引爆 将 使 Alice 声 明 的 时 间 标 记 完 全 无 效 。 


第 四 ， 可 能 有 些 执行 时 间 标 记 业 务 的 人 并 不 像 Trent 那 样 诚实 。 也 许 
Alice 正 在 使 用 Bob 的 时 间 标记 和 Taco Stand 系 统 。 没 有 任何 事情 能 阻止 
Alice 和 Bob 合 谋 ， 他 们 可 以 用 任何 想 要 的 时 间 对 文件 做 时 间 标 记 。 


4.1.2 ”改进 的 仲裁 解决 方法 
单 癌 散 列 函数 和 数字 签名 能 够 轻而易举 地 解决 大 部 分 问题 : 


(1) Alice 产 生 文件 的 单 癌 散 列 值 。 


(2) Alice 将 散 列 值 传送 给 Trent。 





(3) Trent 将 接收 散 列 值 的 日 期 和 时 间 附 在 散 列 值 后 ， 并 对 结果 进 
行 数字 签名 。 
(4) Trent 将 签名 的 散 列 值 和 时 间 标 记 送 回 给 Alice。 


这 种 方法 解决 了 除 最 后 一 个 问题 外 的 所 有 问题 。Alice 再 也 不 用 担心 
泄露 她 的 文件 内 容 ， 因 为 散 列 值 束 足够 了 。Trent 也 不 用 存储 文件 的 副本 
《或 者 其 至 散 列 值 ) ， 这 样 大 量 的 存储 要 求 和 安全 问题 就 解决 了 《〈 记 
住 ， 单 向 散 列 函数 不 需要 密 钥 ) ，Alice 可 以 马上 检查 她 在 第 (4) 步 中 
接收 到 的 对 时 间 标 记 散 列 值 的 签名 。 这 样 ， 她 将 马上 发 现在 传送 过 程 中 
的 任何 错误 。 这 里 唯一 存在 的 问题 是 ，Alice 和 Trent 仍 然 可 以 合谋 产生 

他 们 想 要 的 任何 时 间 标 记 。 


4.1.3 ”链接 协议 


解决 这 个 问题 的 一 种 方法 是 将 Alice 的 时 间 标 记 同 以 前 由 Trent 产生 
的 时 间 标 记 链 接 起 来 。 这 些 时 间 标 记 很 可 能 是 为 其 他 人 而 不 是 为 Alice 产 
生 的 。 由 于 Trent 预先 不 知道 他 所 接收 的 不 同时 间 标 记 的 顺序 ， 所 以 
Alice 的 时 间 标记 一 定 发 生 在 前 一 个 时 间 标 记 之 后 。 并 且 由 于 后 来 的 请 求 
古 与 Alice 的 时 间 标 记 链 接 的 ， 所 以 她 必须 出 现在 前 面 。Alice 的 请 求 正 
好 夹 在 两 个 时 间 之 间 。 











如 有 果 人 A 表示 Alice，Alice 想 要 做 时 间 标 记 的 散 列 值 是 H, ， 并 且 前 一 
个 时 间 标 记 是 T,1 ， 那 么 协议 如 下 : 


(1) Alice 将 H 和 A 发 送 给 Trent。 


(2) Trent 将 如 下 消息 送 回 给 Alice: T =SK (a, A, Has tae ba 


de. Meaty La) 


HR, L 由 如 下 散 列 链接 消息 组 成 : L =H pao Hago This 
Lai): Sk 表示 消息 是 用 Trent 的 私人 密 钥 签名 的 ，Alice 的 名 字 A 表 示 
她 是 请 求 的 发 起 者 ;参数 n 表 示 请 求 的 序号 一 一 这 是 Trent 发 布 的 第 n 个 时 
lipid; 参数 t EN; 其 他 消息 为 身份 标识 符 、 源 散 列 值 、 时 间 和 
Trent 对 以 前 文件 做 的 时 间 标 记 的 散 列 值 。 


(3) 在 Trent 对 下 一 个 文件 做 时 间 标 记 后 ， 他 将 那个 文件 发 起 者 的 


标识 符 I ,1 发 送 给 Alice。 


如 果 有 人 对 Alice 的 时 间 标 记 提 出 疑问 ， 她 只 同 她 的 前 后 文件 的 发 起 
者 Ti 和 Ti 接触 束 行 了 。 如 果 对 她 的 前 后 文件 也 有 疑问 ， 他 们 可 以 同 
Ino 和 Th 接触 等 。 每 个 人 都 能 够 表明 他 们 的 文件 是 在 先 来 的 文件 之 后 
和 后 来 的 文件 之 前 打上 时 间 标 记 的 。 











这 个 协议 使 Alice 和 Trent 很 难 合谋 产生 不 同 于 实际 时 间 的 时 间 标 
记 。Trent 不 可 能 为 Alice 顺 填 文 件 的 日 期 。 因 为 那样 的 话 ，Trent 就 要 预 
先知 道 在 它 之 前 是 哪个 文件 的 请 求 。 即 使 他 能 够 伪造 那个 文件 ， 他 也 得 
知道 在 那个 文件 前 来 的 是 什么 文件 的 请 求 等 。 由 于 时 间 标 记 必 须 嵌 入 马 
上 发 布 的 后 一 个 文件 的 时 间 标 记 中 ， 并 且 那 个 文件 也 已 经 发 布 了 ， 所 以 
他 不 可 能 倒 填 文件 的 日 期 。 破 坏 这 个 方案 的 唯一 办 法 是 在 Alice 的 文件 前 
后 创建 虚构 的 文件 链 ， 该 链 足 够 长 以 至 于 可 以 穷 举 任何 人 对 时 间 标 记 提 
出 的 疑问 。 








4.1.4 ”分 布 式 协议 





人 死 后 ， 时 间 标 记 就 会 丢失 。 在 时 间 标 记 和 疑问 之 间 很 多 事情 都 可 
能 发 生 ， 以 使 Alice 不 可 能 得 到 I.i 的 时 间 标 记 的 副本 ， 这 个 问题 可 以 通 
过 把 前 面 10 个 人 的 时 间 标 记 骨 入 Alice 的 时 间 标 记 中 得 到 缓解 ， 并 且 将 后 
面 10 个 人 的 标识 符 都 发 给 Alice。 这 样 Alice 束 会 有 更 大 的 机 会 找到 那些 





仍 有 他 们 的 时 间 标 记 的 人 。 
下 面 的 协议 与 Trent 一 起 实现 分 布 式 协议 : 


(1) 用 Hi 作为 输入 ，Alice 用 密码 学 意义 上 的 安全 伪 随 机 数 发 生 器 
产生 一 串 随 机 值 : 


(2) Alice 将 这 些 值 的 每 一 个 看 做 其 他 人 的 吴 份 标识 符 I。 她 将 Hn 
发 送 给 他 们 中 的 每 个 人 。 


(3) 他 们 中 的 每 个 人 将 日 期 和 时 间 附 到 散 列 值 后 ， 对 结果 签名 ， 
并 将 它 送 回 给 Alice。 

(4) Alice 收 集 并 存储 所 有 的 签名 作为 时 间 标 记 。 

第 (1) 步 中 密码 学 意义 上 的 安全 伪 随 机 数 发 生 器 防止 Alice 故 意 选 
取 不 可 靠 的 I 作 为 证 人 。 即 使 她 在 文件 中 做 些 改变 以 便 构 造 一 组 不 可 靠 


的 I， 但 她 用 这 种 方式 逃脱 的 机 会 也 是 很 小 的 ， 散 列 函 数 使 [随机 化 ， 
Alice 不 可 能 强迫 他 们 。 





这 个 协议 是 可 行 的 ， 因 为 Alice 伪 造 时 间 标 记 的 唯一 办 法 是 使 所 有 的 
k 个 人 都 与 她 合作 。 由 于 在 第 〈1) 步 中 她 随机 地 选择 k 个 人 ， 所 以 防备 
这 种 攻击 的 可 能 性 很 高 。 社 会 越 腐败 ，k 值 就 应 越 大 。 


另外 ， 应 该 有 一 些 机 制 来 对 那些 不 能 马上 返回 时 间 标 记 的 人 进行 处 
理 。k 的 一 些 子 集 都 应 该 是 有 效 时 间 标 记 所 要 求 的 。 其 细节 由 具体 的 实 
现 来 决定 。 


415 ”进一步 的 工作 


时 间 标 记 协 议 的 进一步 改进 已 在 上 92] 中 提出 。 作 者 利用 二 又 树 来 
增加 时 间 标 记 的 数目 ， 这 个 时 间 标 记 的 数目 依赖 于 一 个 给 定 的 时 间 标 
记 ， 以 进一步 减少 某 些 人 产生 虚拟 时 间 标 记 链 的 可 能 性 。 他 们 也 建议 在 
公共 地 方 ( 例 如 发 表 在 报纸 上 〉 公布 每 天 的 时 间 标 记 的 散 列 值 。 这 类 似 
于 在 分 布 式 协议 中 发 送 散 列 值 给 随机 的 人 。 事 实 上 ， 从 1992 年 以 来 时 间 
标记 就 已 经 出 现在 每 星期 日 的 《纽约 时 报 》 上 了 。 








这 些 时 间 标 记 协议 取得 了 专利 权 【684、685、686」 。 原 隶属 于 贝尔 通 
信 研 究 中 心 的 Surety 技 术 公 司 拥有 这 些 专 利 并 将 数字 公证 系统 推 同市 场 
以 文 持 这 些 协议 。 在 其 第 1 版 中 ， 客 户 发 出 “证 明 ” 请 求 给 中 央 协 调 服务 
器 。 下 述 的 Merkle 技 术 使 用 散 列 函数 构造 树 “1066」 : 服务 器 构造 由 散 
列 值 构成 的 树 ， 树 的 叶子 是 在 给 定 的 秒 期 间接 收 的 所 有 请 求 ， 并 且 服 务 
需 把 从 它 的 叶子 到 树 根 路 径 上 的 散 列 值 的 列表 发 回 给 每 位 请 求 者 。 客 户 
软件 把 它 存储 在 本 地 ， 并 能 为 已 经 证 明 的 任何 文件 发 布 一 个 数字 公证 
的 “证 书 ”。 这 些 树 的 根 的 序列 由 在 多 个 存储 库 地 点 用 电子 手段 获得 
的 “全 程 有 效 记 录 ” 组 成 (也 在 CD-ROM 上 发 布 ) 。 客 户 软 件 也 包括 一 











个 “有 效 的 ?函数 ， 允 许 用 户 测试 文件 是 否 已 经 准确 地 用 其 当前 形式 证 明 
(对 适当 的 树 根 通过 查询 存储 库 ， 并 把 它 与 从 文件 和 它 的 证 书 中 重新 计 
算 的 适当 散 列 值 进行 比较 ) 。 震 要 了 解 Surety 技 术 公 司 可 与 下 面 的 地 址 
联系 : 


1 Main St.， Chatham, NJ, 07928; (201) 701-0600; Fax: 
(201) 701-0601 


4.2 国 下 信道 





假设 Alice 和 Bob 被 捕 入 狱 。 他 将 去 男 牢房 ， 而 她 则 进 女 牢房 。 看 和 守 
Walter 愿意 让 Alice 和 Bob 交 换 消 息 ， 但 不 允许 他 们 加 密 。Walter 认 为 他 
们 可 能 会 商讨 一 个 逃跑 计划 ， 因 此 ， 他 希望 能 够 阅读 他 们 说 的 每 个 细 


a+ 


ce 


Walter 也 希望 欺骗 Alice 和 Bob， 他 想 让 他 们 中 的 一 个 将 欺诈 消息 当 
做 来 自 男 一 个 人 的 真实 消息 。Alice 和 Bob 愿 意 冒 这 种 欺骗 的 危险 ， 否 则 
他 们 根本 无 法 联络 ， 而 他 们 必须 商讨 他 们 的 计划 。 为 了 完成 这 件 事 ， 他 
们 不 得 不 欺骗 看 守 ， 并 找 出 秘密 通信 的 方法 。 他 们 不 得 不 建立 一 个 羡 下 
信道 (subliminal channel) ， 即 完全 在 Walter 视野 内 的 他 们 之 间 的 一 个 
秘密 通信 信道 ， 消 息 本 身 并 不 包含 秘密 消息 。 通 过 交换 完全 无 害 的 签名 
消息 ， 他 们 可 以 来 回 传送 秘密 消息 ， 并 骗 过 Walter， 即 使 walter 正 在 监 
视 所 有 的 通信 。 














一 个 简易 的 立 下 信道 可 以 是 句子 中 单词 的 数目 。 句 子 中 奇数 个 单词 
对 应 “1”， 而 偶数 个 单词 对 应 “0”。 因 此 ， 当 你 读 这 种 仿佛 无 关 的 段落 
时 ， 我 已 将 消 思 101" 送 给 了 在 现场 的 我 方 的 人 。 这 种 扩 术 的 问题 在 于 
ENNER (AULT) ， 没 有 密 钥 ， 安 全 性 依赖 于 算法 的 保密 
He 


Gustavus Simmons 发 明了 传统 数字 签名 算法 中 浆 下 信道 的 概念 
L1458、1473」 。 由 于 阐 下 消息 隐藏 在 看 似 正常 的 数字 签名 的 文本 中 ， 所 
以 这 是 一 种 迷惑 人 的 形式 。Walter 看 到 来 回 传递 的 已 签名 的 无 害 消息 ， 
但 他 完全 看 不 到 通过 阔 下 信道 传递 的 消息 。 事 实 上 ， 阐 下 信道 签名 算法 
与 通常 的 签名 算法 不 能 区 别 ， 至 少 对 Walter 是 这 样 。Walter 不 仅 不 能 读 
闹 下 信道 消息 ， 而 且 他 也 不 知道 闹 下 信道 消息 已 经 出 现 。 





一 般 来 说 ， 协 议 按 如 下 步 又 执行 : 








(1) Alice 产 生 一 个 无 害 消 上 息 ， 最 好 是 随机 的 。 





(2) 用 与 Bob 共 享 的 秘密 密 钥 ，Alice 对 这 个 无 害 消息 签名 ， 她 在 
签名 中 隐藏 她 的 六 下 消 恩 (这 是 阐 下 信道 协议 的 内 容 ， 参 见 23.3 广 )。 


(3) Alice 通 过 Walter 发 送 签名 消息 给 Bob。 


(4) Walter 读 这 份 无 害 的 消息 并 检查 签名 ， 没 友 现 什么 问题 ， 他 
将 这 份 俭 名 的 消息 传递 给 Bob。 





(5) Bob 检 查 这 份 无 害 消 息 的 签名 ， 确 认 消 县 来 目 于 Alice。 





(6) Bob 久 略 无 害 的 消息 ， 而 用 他 与 Alice 共 享 的 秘密 密 铀 ， 提 取 
BU PE 


怎样 欺骗 昵 ?Walter 不 相信 任何 人 ， 别 的 人 也 不 相信 他 。 他 可 以 阻 


止 通 信 ， 但 他 没 法 构造 虚假 消息 。 由 于 他 没 法 产生 任何 有 效 的 签名 ， 上 所 
以 Bob 将 在 第 (5) 步 中 检测 出 他 的 意图 。 并 且 由 于 他 不 知道 共 圣 密 钥 ， 
所 以 他 没 法 阅读 病 下 消 姑 。 更 重要 的 是 ， 他 不 知道 阐 下 消息 在 哪里 。 用 
数字 签名 算法 签名 后 的 消 妃 与 藤 入 签名 中 的 靖 下 消息 看 上 去 没有 什么 不 
同 。 








Alice 和 Bob 之 间 的 欺 驴 问题 残 更 多 。 在 浆 下 信道 的 一 些 实现 中 ， 
Bob 需 要 从 闵 下 信道 读 的 秘密 消 居 与 Alice 需 要 签名 的 无 害 消 奶 是 相同 
的 。 如 果 这 样 ，Bob 能 够 冒充 Alice。 他 能 对 消息 签名 声称 该 消息 来 源 于 
她 ， 而 对 此 Alice 无 能 为 力 。 如 条 她 要 给 他 发 送 闭 下 消息 ， 她 不 得 不 相信 
他 不 会 滥用 她 的 私人 密 钥 。 








其 他 阔 下 信道 实现 中 没有 这 个 问题 。 由 Alice 和 Bob 共 至 的 秘密 密 钥 
允许 Alice 给 Bob 发 送 闹 下 消 妃 ， 但 这 个 密 钥 与 Alice 的 私人 密 钥 不 同 ， 并 
且 不 允许 Bob 对 消息 签名 。Alice 也 就 不 必 相 信 Bob 不 会 滥用 她 的 私人 密 
AS 


4.2.1 BY Pia A 
BOP fs te toe Ae LA AE FETE ERA UREA ABU ARE A ES 


PRERA SCPE RS PB ABER. SR, BOTA TAD UR tH 
可 以 做 同样 的 事 。 


用 一 个 闭 下 信道 ，Alice 可 以 在 受到 威胁 时 安全 地 对 文件 签名 。 她 可 
以 在 签名 文件 时 租 入 立 下 消 有 息 ， 说 “我 被 胁迫 ">。 其 他 应 用 则 更 为 微妙 ， 
公司 可 以 签名 文件 ， 舱 入 立 下 消息 ， 允 许 它们 在 整个 文档 有 效 期 内 被 跟 
ies 政府 可 以 “标记 ”数字 货币 ;恶意 的 签名 程序 可 能 泄露 其 签名 中 的 秘 


密 消 忠 。 其 可 能 性 是 无 穷 的 。 





4.2.2 FLAG RAE A 


Alice 和 Bob 互 相 发 送 签名 消息 ， 协 商 合同 的 条 款 。 他 们 使 用 数字 签 
名 协议 。 然 而 ， 这 个 合同 谈判 是 用 来 掩护 Alice 和 Bob 的 间谍 活动 的 。 当 
他 们 使 用 数字 签名 算法 时 ， 他 们 不 关心 所 签名 的 消息 ， 而 是 利用 签名 中 
的 阔 下 信道 彼此 传送 秘密 消息 。 然 而 ， 反 间谍 机 构 不 知道 合同 谈判 以 及 
签名 消息 的 应 用 只 是 表面 现象 。 因 此 人 们 创立 了 杜绝 阔 下 的 签名 方案 
(subliminal-free signature scheme) 。 这 些 数字 签名 方案 不 能 被 修改 使 


Ram Fis. ANAL C480. 481] 。 


4.3 不 可 抵赖 的 数字 签名 


一 般 的 数字 签名 能 够 被 准确 地 复制 。 这 个 性 质 有 时 是 有 用 的 ， 比 如 
公开 宣传 品 的 发 布 。 而 在 其 他 时 间 ， 它 可 能 有 问题 。 想 象 数字 签名 的 私 
人 或 商业 信件 。 如 果 到 处 散布 那个 文件 的 许多 拷贝 ， 而 每 个 找 贝 又 能 够 
被 任何 人 验证 ， 这 样 可 能 会 导致 窘迫 或 勒索 。 最 好 的 解决 方案 是 数字 签 
名 能 够 被 证 明 是 有 效 的 ， 但 没有 签名 者 的 同意 接收 者 不 能 把 它 给 第 三 方 
看 。 








Alice 软 件 公司 发 布 了 DEW (Do-Everything-Word) 软件 。 为 了 确信 
软件 中 不 带 病毒 ， 他 们 在 每 个 拷贝 中 包括 一 个 数字 签名 。 然 而 ， 他 们 只 
想 软 件 的 合法 买主 能 够 验证 数字 签名 ， 盗 版 者 则 不 能 。 同 时 ， 如 果 
DEW 找 贝 中 发 现 有 病毒 ，Alice 软 件 公司 也 不 能 否认 有 效 的 数字 签名 。 





不 可 抵赖 签名 (undeniable signature) [34 327] 适合 于 这 类 任 
务 。 类 似 于 一 般 的 数字 签名 ， 不 可 抵赖 签名 也 依赖 于 签名 的 文件 和 签名 
者 的 私人 密 钥 。 但 不 同 的 是 ， 不 可 抵赖 签名 没有 得 到 签名 者 同意 就 不 能 
被 验证 。 虽 然 对 这 些 签名 ， 用 像 “ 不 可 改变 的 签名 ”一 类 的 名 称 更 好 ， 但 
这 个 名 称 的 由 来 是 ， 如 果 Alice 被 强迫 承认 或 抵赖 一 个 签名 《很 可 能 在 法 
BEE) ， 她 不 能 否认 她 的 真实 签名 。 








(1) Alice 加 Bob 出 示 一 个 签名 。 
(2) Bob 产 生 一 个 随机 数 并 送 给 Alice。 


(3) Alice 利 用 随机 数 和 其 私人 和 密 钥 进行 计算 ， 将 计算 结果 送 给 


Bob。Alice 只 能 计算 该 签名 是 否 有 效 。 
(4) Bob 确 认 这 个 结果 。 


还 有 其 他 的 协议 ， 以 便 Alice 能 够 证 明 她 没有 对 文件 签名 ， 同 时 也 不 


Bob 不 能 转 而 让 Carol 确 信 Alice 的 签名 是 有 效 的 ， 因 为 Carol 不 知道 
Bob 的 数字 是 随机 数 。Bob 很 容易 在 纸 文件 上 完成 这 个 协议 ， 而 不 用 
Alice 的 任何 帮助 ， 然 后 将 结果 出 示 给 Carol。Carol 只 有 在 她 与 Alice 本 人 
完成 这 个 协议 后 才能 确信 Alice 的 签名 是 有 效 的 。 现 在 或 许 没有 什么 意 
义 ， 但 是 一 旦 你 明白 23.4 节 介绍 的 数学 原理 ， 就 会 显而易见 了 。 


这 个 解决 方法 并 不 完善 ，Yvo Desmedt 和 Moti Yung 研 究 表明 ， 在 某 
些 情况 下 ，Bob 让 Carol 确 信 Alice 的 签名 有 效 是 可 能 的 [489」 。 


例如 ，Bob 买 了 DEW 的 一 个 合法 拷贝 ， 他 能 在 任何 时 候 验 证 软件 包 
的 签名 。 然 后 ，Bob 使 Carol 相 信 他 是 来 自 Alice 软 件 公 司 的 销售 丙 。 他 卖 
给 她 一 个 DEW 的 盗版 。 当 Carol 试 图 验证 Bob 的 签名 时 ， 他 同时 要 验证 
Alice 的 签名 。 当 Carol 有 发 给 Bob 随 机 数 时 ，Bob 然 后 把 它 送 给 Alice。 当 


Alice 响 应 后 ，Bob 就 将 响应 送 给 Carol。 于 是 Carol 相 信 她 自己 是 该 软件 
的 合法 买主 ， 尽 管 她 并 不 是 。 这 种 攻击 是 象棋 大 师 问 题 的 一 个 例子 ， 在 
5.2 节 中 有 详细 的 讨论 。 





即使 如 此 ， 不 可 抵赖 签名 仍 有 许多 应 用 ， 在 很 多 情况 中 ，Alice 不 想 
任何 人 能 够 验证 她 的 签名 。 她 不 想 她 的 个 人 通信 被 媒体 核实 、 展 示 并 从 
文中 查 对 ， 或 者 甚至 在 事情 已 经 改变 后 个 验 证 。 如 果 她 对 卖 出 的 消息 签 
名 ， 她 不 希望 没有 对 消 忧 付 钱 的 那些 人 能 够 验证 它 的 真实 性 。 控 制 谁 验 
证 她 的 签名 是 Alice 保 护 她 的 个 人 隐私 的 一 种 方法 。 











不 可 抵赖 签名 的 一 种 变化 是 把 签名 者 与 消息 之 间 的 关系 与 签名 者 与 
签名 之 间 的 关系 分 开 OL 。 在 这 种 签名 方案 中 ， 任 何人 都 能 够 验证 实 
际 产 生 签名 的 签名 者 ， 但 签名 者 的 合作 者 还 需要 验证 该 消息 的 签名 是 有 
效 的 。 








相关 的 概念 是 受托 不 可 抵赖 签名 Centrusted undeniable signature ) 
L1229」 。 设 想 Alice 为 Toxins 公 司 工作 ， 并 使 用 不 可 抵赖 签名 协议 发 送 控 
告 文件 给 报社 。Alice 能 够 对 报社 记者 验证 她 的 签名 ， 但 不 向 其 他 任何 人 
验证 签名 。 然 而 执行 总 裁 Bob 怀 疑 文件 是 Alice 提 供 的 ， 他 要 求 Alice 执 行 
否认 协议 来 淤 清 她 的 名 字 ，Alice 拒 绝 了 。Bob 认 为 Alice 不 得 不 拒绝 的 唯 
-理由 是 她 有 罪 ， 于 是 便 解雇 她 。 





除了 否认 协议 只 能 由 Trent 执行 外 ， 受 托 不 可 抵赖 签名 类 似 于 不 可 抵 


赖 签名 。Bob 不 能 要 求 Alice 执 行 否 认 协 议 ， 只 有 Trent 能 够 。 如 果 Trent 是 
法 院 系 统 ， 那 么 他 将 只 执行 协议 去 解决 正式 的 争端 。 


4.4 指定 的 确认 者 签名 


Alice 软 件 公 司 销售 DEW 软 件 的 生意 非常 兴隆 ， 事 实 上 ，Alice 验 证 
不 可 抵赖 签名 花费 的 时 间 比 编写 新 功能 部 件 花费 的 时 间 更 多 。 


Alice 很 希望 有 一 种 办 法 可 以 在 公司 中 指定 一 个 特殊 的 人 负责 对 整个 
公司 的 签名 验证 。Alice 或 任何 其 他 程序 员 能 够 用 不 可 抵赖 协议 对 文件 签 
名 。 但 是 所 有 的 验证 都 由 Carol 人 处 理 。 


结果 表明 ， 用 指定 的 确认 者 签名 (designated confirmer signature) 
L333、1213」 是 可 行 的 。Alice 能 够 对 文件 签名 ， 而 Bob 相 信 签 名 是 有 效 
的 ， 但 他 不 能 使 第 三 方 相信 。 同 时 ，Alice 能 够 指定 Carol 作 为 其 签名 的 
确认 者 。Alice 甚 至 事先 不 需要 得 到 Carol 的 同意 ， 她 只 需要 Carol 的 公开 
密 钥 。 如 果 Alice 不 在 家 、 已 经 离开 公司 ， 或 者 突然 死亡 了 ，Carol 仍 然 
能 够 验证 Alice 的 签名 。 














指定 的 确认 者 签名 是 标准 的 数字 签名 和 不 可 抵赖 签名 的 折 中 。 肯 定 
有 一 些 场合 Alice 可 能 想 要 限制 能 验证 其 签名 的 人 。 必 一 方面 ， 假 设 
Alice 完 全 控制 破坏 了 签名 的 可 实施 性 : Alice 可 能 在 确认 或 否认 方面 拒 
绝 合作 ， 她 可 能 声称 用 于 确认 或 否认 的 密 钥 丢失 了 ， 或 者 她 可 能 正好 号 
份 不 明 。 指 定 的 确认 者 签名 让 Alice 既 能 保护 不 可 抵赖 签名 ， 同 时 又 不 让 
她 小 用 这 种 保护 。Alice 可 能 更 喜欢 以 下 方式 : 指定 的 确认 者 签名 能 够 帮 





助 她 防止 错误 的 应 用 ， 如 果 她 确实 丢失 了 密 钥 ， 可 以 保护 她 ， 如果 她 是 
在 度假 、 在 医院， 甚至 死 了 ， 也 可 以 插手 干预 。 


这 种 想法 有 各 种 可 能 的 应 用 。Carol 能 够 把 她 自己 作为 公证 人 公 
开 。 她 能 够 在 茶 些 地 方 的 茶 些 目录 中 发 布 她 的 公开 密 铀 ， 人 们 能 够 指定 
她 作为 他 们 签名 的 确认 入 。 她 回 大 众 收 取 少 量 的 签名 确认 费用 ， 这 使 她 
可 以 生活 得 很 好 。 


Carol 可 能 是 版 权 事务 所 、 政 府 机 构 或 其 他 很 多 机 构 。 这 个 协议 允 
许 组 织 机 构 把 签署 文件 的 人 与 帮助 验证 签名 的 人 分 开 。 


45 代理 签名 


指定 的 确认 者 签名 允许 签名 者 指定 其 他 东 个 人 来 验证 他 的 签名 。 例 
如 ，Alice 需 要 到 一 些 地 方 进行 商业 旅行 ， 这 些 地 方 不 能 很 好 地 访问 计算 
机 网 络 〈“ 例 如 非洲 丛林 ) ， 或 者 也 许 她 在 大 手术 后 ， 无 能 为 力 。 她 希望 
接收 一 些 重 要 的 电子 邮件 ， 并 指示 她 的 秘书 Bob 做 相应 的 回信 。Alice 在 
不 把 她 的 私人 密 钥 给 Bob 的 情况 下 ， 该 如 何 让 Bob 行 使 她 的 消 居 签 名 的 
权利 呢 ? 





代理 签名 (proxy signature) 是 一 种 解决 方案 1001] 。Alice 可 以 给 
Bob 代 理 ， 这 种 代理 具有 下 面 的 特性 : 


:可 区 别 性 (distinguishability〉。 任 何人 都 可 区 别 代理 签名 和 正常 
签名 。 


MW 


-不 可 伪造 性 Cunforgeability) 。 只 有 原始 签名 者 和 指定 的 代理 签 
名 者 能 够 产生 有 效 的 代理 签名 。 


.代理 签名 者 的 不 符合 性 (proxy signer’s deviation) 。 代 理 签名 者 
必须 创建 一 个 能 检测 代理 签名 的 有 效 代 理 签 名 。 


可 验证 性 (verifiability〉。 从 代理 签名 中 ， 验 证 者 能 够 相信 原始 
的 签名 者 认同 了 这 份 签名 消 乱 。 


可 识别 性 〈identifiability) 。 原 始 签名 者 能 够 从 代理 签名 中 识别 代 
理 签 名 者 的 号 份 。 


:不 可 抵赖 性 (undeniability〉。 代 理 签名 者 不 能 否认 他 创建 的 且 被 
认可 的 代理 签名 。 





在 某 些 情况 中 ， 需 要 更 强 的 可 识别 性 形式 ， 即 任何 人 都 能 从 代理 签 
名 中 确定 代理 签名 者 的 身份 。 基 于 不 同 数字 签名 方案 的 代理 签名 方案 在 
[1001] 中 有 描述 。 


4.6 团体 签名 





David Chaum 在 [330] 中 提出 了 下 述 问 题 : 





一 个 公司 有 多 人 台 计 算 机 ， 每 台 都 连接 在 局 域 网 上 。 公 司 的 每 个 部 门 
有 自己 的 打印 机 《也 连接 在 局 域 网 上 ) ， 并 且 只 有 本 部 门 的 人 员 才 被 允 
许 使 用 他 们 部 门 的 打印 机 。 因 此 ， 打 印 前 ， 必 须 使 打印 机 确信 用 户 在 那 
个 部 门 工作 。 同 时 ， 公 司 想 保密 ， 不 可 以 暴露 用 户 的 姓名 。 然 而 ， 如 果 
有 人 在 当天 结束 时 发 现 打 印 机 用 得 太 频 紧 ， 主 管 者 必须 能 够 找 出 谁 滥 
了 那 台 打印 机 ， 并 给 他 一 个 账单 。 





对 这 个 问题 的 解决 方法 称 为 团体 签名 (group signature) 。 它 具有 
以 下 特性 : 





.只 有 该 团体 内 的 成 员 能 对 消息 签名 。 
签名 的 接收 者 能 够 证 实 消息 是 该 团体 的 有 效 签名 。 
签名 的 接收 者 不 能 决定 是 该 团体 内 哪 一 个 成 员 的 签名 。 


在 出 现 和 争议 时 ， 签 名 能 够 被 “打开 ”， 以 揭示 签名 者 的 身份 。 





具有 可 信 仲 裁 者 的 团体 签名 





本 协议 使 用 可 信和 仲裁 者 : 


(1) Trent 产 生 大 量 公 开 密 钥 / 私 人 密 钥 密 钥 对 ， 并 且 给 团体 内 的 每 
个 成 员 一 个 不 同 的 唯一 私 钥 表 。 在 任何 表 中 密 钥 都 是 不 同 的 《如 采 团 体 
内 有 n 个 成 员 ， 每 个 成 员 得 到 m 个 密 钥 对 ， 那 么 总 共有 nxm 个 密 钥 对 〉。 








(2) Trent 以 随机 顺序 公开 该 团体 所 用 的 公开 密 钥 主 表 。Trent 保 持 
一 个 哪些 密 钥 属于 谁 的 秘密 记录 。 


O 当 团 体内 成 员 想 对 一 个 文件 签名 时 ， 他 从 自己 的 密 钥 表 中 随 
机 选取 一 个 密 钥 。 








(4) 当 有 人 想 验 证 签名 是 否 属于 该 团体 时 ， 只 需 查找 对 应 公开 密 
钥 主 表 并 验证 签名 。 


(5) 当 争 议 发 生 时 ，Trent 知 道 哪个 公开 密 钥 对 应 于 哪个 成 员 。 


这 个 协议 的 问题 在 于 需要 可 信和 的 一 方 。Trent 知 道 每 个 人 的 私人 密 钥 
因而 能 够 伪造 签名 。 而 且 ，m 必 须 足 够 长 以 避免 试图 分 析出 每 个 成 员 用 
的 是 哪个 密 钥 。 





Chaum 在 论文 中 列举 了 许多 其 他 的 协议 “3304 ， 其 中 有 些 协议 Trent 
不 能 够 伪造 签名 ， 而 另 一 些 协议 甚至 不 需要 Trent。 另 一 个 协议 [348] 
不 仅 隐藏 了 签名 者 的 身份 ， 而 且 人 允许 新 成 员 加 入 团体 内 。 在 11230] 中 
还 描述 了 为 一 个 协议 。 


4.7 ”失败 -终止 数字 签名 


让 我 们 假想 Eve 是 非常 强劲 的 敌人 。 她 有 巨大 的 计算 机 网 络 和 很 多 
装 满 了 Cray 计 算 机 的 屋子 〈 计 算 机 能 力 比 Alice 大 许多 量 级 ) 。 这 些 计算 
机 剧 夜 工作 试图 破译 Alice 的 私人 密 钥 ， 最 终 成 功 了 。Eve 现 在 就 能 够 冒 
充 Alice， 随 意 地 在 文件 上 伪造 她 的 签名 。 


由 Birgit Pfitzmann 和 Michael Waidner [12404 引入 的 失败 -终止 数字 
签名 (fail-stop digital signa ture) 就 能 避免 这 种 欺诈 。 如 末 Eve 在 穷 举 攻 
击 后 伪造 Alice 的 签名 ， 那 么 Alice 能 够 证 明 它 们 都 是 伪造 的 。 如 果 Alice 
对 文件 签名 ， 然 后 否认 签名 ， 声 称 是 伪造 的 ， 法 院 能 够 验证 它 不 是 伪造 
的 。 








失败 -终止 签名 的 基本 原理 是 : 对 于 每 个 可 能 的 公开 密 钥 ， 许 多 可 

能 的 私人 密 钥 和 它 一 起 工作 。 这 些 私 人 密 钥 中 的 每 一 个 产生 许多 不 同 的 
可 能 的 签名 。 然 而 ，Alice 只 有 一 个 私人 密 钥 ， 只 能 计算 一 个 签名 。 
Alice 并 不 知道 其 他 任何 私人 密 钥 。 


Eve 试图 破解 Alice 的 私人 密 钥 。〈 在 这 种 情况 下 ，Eve 也 可 能 是 
Alice， 试 图 为 她 目 己 计算 第 二 个 私人 密 钥 。) 她 收集 签名 消息 ， 并 且 利 
用 她 的 Cray 计 算 机 阵列 ， 试 图 恢复 Alice 的 私人 密 钥 。 即 使 Eve 能 够 恢复 
一 个 有 效 的 私人 密 钥 ， 但 因为 有 许多 可 能 的 私人 密 铀 ， 所 以 这 个 私人 密 


钥 可 能 是 不 同 的 一 个 。Eve 恢 复合 适 的 私人 密 钥 的 概率 非常 小 ， 可 以 忽 
略 不 计 。 


现在 ， 当 Eve 利 用 她 产生 的 私人 和 密 钥 伪造 签名 时 ， 它 将 不 同 于 Alice 
本 人 对 文件 的 签名 。 当 Alice 被 传 到 法 院 时 ， 对 同一 个 消息 和 公开 密 钥 她 
能 够 产生 两 个 不 同 的 签名 (对 应 于 她 的 私人 和 密 钥 以 及 Eve 产 生 的 私人 密 
钥 〉 以 证 明 是 伪造 的 。 男 一 方面 ， 如 果 Alice 不 能 产生 两 个 不 同 的 签名 ， 


这 时 没有 伪造 ，Alice 就 要 对 她 的 签名 负责 。 











这 个 签名 方案 避免 了 Eve 通过 巨大 的 计算 能 力 来 破译 Alice 签 名 的 方 
案 。 它 对 下 面 这 种 更 有 可 能 发 生 的 攻击 却 无 能 为 力 : Mallory HA 
Alice 的 住宅 并 偷 鳃 她 的 私人 密 钥 或 者 Alice 签 署 了 一 个 文件 然后 却 丢 失 
了 她 的 私人 密 钥 时 。 为 了 防止 前 一 种 攻击 ，Alice 应 该 给 她 目 己 买 条 好 的 
看 门 狗 ， 这 种 事情 已 超出 了 密码 学 的 范围 。 








其 他 的 关于 失败 -终止 签名 的 理论 和 应 用 能 在 [1239、1241、730、 
731] 中 能 找到 。 


4.8 加 密 数 据 计 算 


Alice 想 知道 某 个 函数 f Cx) 对 某 些 特殊 的 x 值 的 解 。 不 笠 的 是 ， 她 
的 计算 机 坏 了 ，Bob 愿 意 为 她 计算 f (x) ， 但 Alice 又 不 想 让 Bob 知 道 她 
的 x。 怎 样 做 Alice 才 能 在 不 让 Bob 知 道 x 的 情况 下 为 她 计算 f (x) WE? 


这 是 加 密 数据 计算 (computing with encrypted data) 的 一 般 问题 ， 
也 称 为 对 先知 隐藏 信息 Chiding information from an oracle) 问题 。 
(Bob 是 先知 ， 他 回答 问题 。〉 对 某 些 函数 来 说 ， 有 许多 方法 能 够 解决 
这 个 问题 ， 将 在 23.6 节 中 讨论 。 


4.9 ”位 承诺 


Alice， 这 位 令 人 惊异 的 魔术 天 才 ， 正 表演 关于 人 类 意念 的 神秘 技 
巧 。 她 将 在 Bob 选 牌 之 前 猜 中 Bob 将 选 的 牌 ! 注意 Alice 在 一 张 纸 上 写 出 
她 的 预测 。Alice 很 神秘 地 将 那 张 纸 片 效 入 信封 中 并 封 上 。 束 在 人 们 吃 慰 
之 时 ，Alice 将 封 好 的 信封 随机 地 递 给 一 名 观众 。“ 取 一 张 牌 ，Bob， 储 
选 一 张 。”Bob 看 了 看 牌 而 后 将 之 出 示 给 Alice 和 观众 。 是 方块 7。 现 在 
Alice 从 观众 那里 取 回 信封 ， 撕 开 它 。 在 Bob 选 牌 之 先 写 的 预测 也 是 方块 
7! 全 场 欢呼 ! 


这 个 魔术 的 要 氮 在 于 ，Alice 在 戏法 的 最 后 交换 了 信封 。 然 而 ， 窗 码 
协议 能 够 提供 防止 这 种 花招 的 方法 。 这 有 什么 用 ? 下 面 是 一 个 更 实际 的 
故事 : 


股票 经 纪 人 Alice 想 说 服 投资 商 Bob 她 的 选取 赢利 股票 的 方法 很 不 


Bob 说 :“ 给 我 选 5 只 股票 ， 如 果 都 启 利 ， 我 将 把 生意 给 你 。” 


Alice 说 :“ 如 果 我 为 你 选 了 5 只 股票 ， 你 可 以 自己 对 他 们 投资 ， 而 不 
用 给 我 付 球 。 我 为 什么 不 向 你 出 示 我 上 月 选 的 股票 呢 ?” 





Bob:“ 我 怎样 知道 你 在 了 解 了 上 月 股票 的 收益 后 没 改 变 你 上 月 选择 


的 股票 呢 ? 如 采 你 现在 告诉 我 你 选 的 股票 ， 我 就 可 以 知道 你 不 能 改变 他 
们 。 在 我 买 你 的 方法 以 前 我 不 在 这 些 股票 中 投资 。 相 信 我 。” 


Alice: “我 宁愿 告诉 你 我 上 月 选择 的 股票 。 我 不 会 变 ， 相 信 我 。” 


Alice 想 对 Bob 承 诡 一 个 预测 〈 即 1 位 或 位 序列 ) ， 但 直到 某 个 时 间 
以 后 才 揭 示 她 的 预测 。 而 另 一 方面 ，Bob 想 确信 在 Alice 承 诡 了 她 的 预测 
后 ， 她 没有 改变 她 的 想法 。 





4.9.1 ”使 用 对 称 密码 系统 的 位 承诺 


这 个 位 承诺 协议 使 用 对 称 密码 系统 : 
(1) Bob 产 生 一 个 随机 位 串 R， 并 把 它 发 送 给 Alice: Ro 


(2) Alice 产 生 一 个 由 她 想 承 话 的 位 b 组 成 的 消 奶 (b 实 际 上 可 能 是 
多 位 ， 和 Bob 的 随机 串 。 她 用 茶 个 随机 密 钥 K 对 它 加 密 ， 并 将 结果 送 回 


给 Bob: Ex (R, b)。 


这 是 这 个 协议 的 承 详 部 分 ，Bob 不 能 解密 消息 ， 因 而 不 知道 位 是 什 


> 


当 到 了 Alice 揭 示 她 的 位 的 时 候 ， 协 议 继续 : 


(3) Alice 发 送 密 钥 给 Bob 。 


(4) Bob 解 密 消 居 以 揭示 位 。 他 检测 他 的 随机 串 以 证 实 位 的 有 效 


如 果 消 息 不 包含 Bob 的 随机 串 ，Alice 能 够 秘密 地 用 一 系列 密 钥 解 密 
她 交 给 Bob 的 消 轧 ， 直 到 找到 一 个 给 她 的 位 ， 而 不 是 她 承 诡 的 位 。 由 于 
位 只 有 两 种 可 能 的 值 ， 她 只 需 试 几 次 肯定 可 以 找到 一 个 。Bob 的 随机 串 
避免 了 这 种 攻击 ， 她 必须 能 找到 一 个 新 的 消 轧 ， 这 个 消息 不 仅 使 她 的 位 
反 转 ， 而 且 使 Bob 的 随机 串 准 确 地 重新 产生 。 如 果 加 窗 算 法 好 ， 她 及 现 
这 种 消息 的 机 会 是 极 小 的 。Alice 不 能 在 她 承诺 后 改变 她 的 位 。 


4.9.2 ”使 用 单 癌 函数 的 位 承 详 


本 协议 利用 单 同 函数 : 


(1) Alice 产 生 两 个 随机 位 串 : Ry» Roo 


(2) Alice 产 生 消 息 ， 该 消息 由 她 的 随机 串 和 她 希望 承 诡 的 位 〈 实 
际 上 可 能 是 几 位 ) 组 成 : CR,, Ry» bd 。 





(3) Alice 计 算 消 息 的 单 癌 函数 值 ， 将 结果 以 及 其 中 一 个 随机 串 发 
送 给 Bob: H (R,, Ry» b), Ryo 


这 个 来 自 Alice 的 传送 就 是 承诺 证 据 。Alice 在 第 (3) 步 使 用 单 向 函 
数 阻止 Bob 对 函数 求 逆 并 确定 这 个 位 。 


当 到 了 要 Alice 揭 示 她 的 位 的 时 候 ， 协 议 继续 : 
(4) Alice 将 原 消息 发 给 Bob: (R,, Ro» b)。 


(5) Bob 计 算 消 息 的 单 向 函数 值 ， 并 将 该 值 和 Ri 与 原先 收 到 的 值 
和 随机 串 比 较 。 如 匹配 ， 则 位 有 效 。 


这 个 协议 较 前 面 协议 的 优点 在 于 Bob 不 必 发 送 任何 消息 。 只 需 Alice 
发 送 给 Bob 一 个 对 位 承 详 的 消 妃 ， 以 及 另 一 揭示 该 位 的 消 乱 。 


这 里 不 需要 Bob 的 随机 串 ， 因 为 Alice 承 诺 的 结果 是 对 消息 进行 单 向 
函数 变换 得 到 的 。Alice 不 可 能 欺骗 ， 并 找到 男 一 个 消息 (Ri R’ b 
') ， 以 满足 H (Ri; R’, b) = (R,, R, b) 。 通 过 发 给 Bob 随 机 位 
串 Ri; ，Alice 对 b 的 值 做 了 承诺 。 如 果 Alice 不 保持 R, 是 秘密 的 ， 那 么 Bob 
能 够 计算 出 H (Rj; Ry» b) 和 (Ri ，R,，b) ， 并 比较 哪 一 个 等 于 他 
从 Alice 那 里 接收 的 值 。 





4.9.3 ”使 用 伪 随 机 序列 发 生 器 的 位 承 话 


本 协议 更 容易 H37], 


(1) Bob 产 生 随机 位 串 ， 并 送 给 Alice: Rpg o 








(2) Alice 为 伪 随 机 位 发 生 堪 产生 一 个 随机 和 种子。 然后， 对 Bob 随 





机 位 串 中 的 每 一 位 ， 她 回 送 Bob 下 面 两 个 中 的 一 个 : 

(a) 如 果 Bob 的 位 为 0， 则 为 发 生 器 的 输出 。 

Cb) 如 果 Bob 的 位 为 1， 则 为 发 生 器 输出 与 她 的 位 的 异 或 。 

当 到 了 Alice 出 示 她 的 位 的 时 候 ， 协 议 继续 : 

(3) Alice 将 随机 种 子 送 给 Bob。 

(4) Bob 确 认 Alice 的 行动 是 合理 的 。 

如 果 Bob 的 随机 位 串 足 够 长 ， 伪 随机 位 发 生 器 就 不 可 预测 ， 这 时 
Alice 就 没有 有 效 的 方法 进行 欺诈。 
4.9.4 模糊 点 

Alice 发 送 给 Bob 以 便 对 位 承诺 的 串 有 时 又 叫做 模糊 点 (blob〉。 一 
个 模糊 点 是 一 个 位 序列 ， 虽 然 在 协议 中 没有 说 明 它 为 什么 必须 这 样 ， 正 


如 Gilles Brassard 所 说 的 ，“ 只 要 是 合理 存在 的 就 是 有 用 的 ” .236」 。 模 糊 
点 有 下 面 四 个 特性 : 





(1) Alice 能 够 对 模糊 点 承诺 ， 通 过 承诺 模糊 点 来 承诺 一 位 。 


(2) Alice 能 够 打开 她 所 承诺 的 任何 模糊 点 。 当 她 打开 模糊 点 时 ， 


她 能 让 Bob 相 信 在 她 对 模糊 点 承诺 时 她 所 承诺 的 位 值 。 因 此 ， 她 不 能 i 
择 把 任何 模糊 点 作为 0 或 1 打开 。 


(3) Bob 不 知道 Alice 如 何 打开 承诺 了 的 但 尚未 打开 的 模糊 点 。 即 
使 Alice 打 开 其 他 模糊 点 之 后 ， 也 是 如 此 。 


(4) 模糊 点 所 带 的 消息 除了 Alice 承 诺 的 位 外 ， 不 再 有 任何 信息 。 
模糊 点 本 身 ， 连 同 Alice 的 承 诡 和 开局 模糊 点 的 过 程 ， 与 Alice 和 希望 对 Bob 
保密 的 其 他 东西 不 相关 。 


4.10 ”公平 的 硬币 抛掷 


是 Joe Kilian [831」 讲 故事 的 时 候 了 : 


Alice 和 Bob 想 抛 扼 一 个 公平 的 硬币 ， 但 又 没有 实际 的 物理 硬币 可 
抛 。Alice 提 出 一 个 用 思维 来 抛掷 公平 便 币 的 简单 方法 。“ 首 移 ， 你 想 一 
个 随机 位 ， 然 后 我 再 想 一 个 随机 位 ， 我 们 将 这 两 个 位 进行 异 或 。”Alice 
建议 。 


“但 如 果 我 们 中 有 人 不 随机 抛 扼 硬 币 怎么 办 呢 ? ”也 ob 问 道 。 





“这 无 天 紧要 ， 只 要 这 些 位 中 的 一 个 是 真正 随机 的 ， 它 们 腊 或 应 该 
也 是 真正 随机 的 。”Alice 这 样 回答 。 经 过 思考 后 ，Bob 同 意 了 。 


没 过 多 久 ，Alice 和 Bob 碰 到 一 本 关于 人 工 智 能 的 书 ， 这 本 书 航 丢 友 
在 路 和 劳 。 优 秀 公民 Alice 说 : “我 们 中 有 一 个 必须 拣 起 这 本 书 ， 并 找到 一 
个 合适 的 垃圾 箱 。”Bob 同 意 并 提议 用 抛 币 协 议 来 决定 谁 必须 将 这 本 书 扔 
fio 


“如 果 最 后 的 位 是 "0:， 那 么 你 必须 拣 起 那 本 书 ， 如 果 是 “1 ， 那 我 必 
须 那 样 做 。”Alice 说 。 “你 的 位 是 什么 ? ” 





Bob 答 道 : “1. ” 


“为 什么 ， 我 的 也 是 1，”Alice 硕 皮 地 说 ,，“ 我 猜想 今天 不 是 你 的 洱 运 


不 用 说 ， 这 个 抛 币 协议 有 严重 的 缺陷 ， 真 正 随机 的 位 x 与 任意 独立 
分 配 的 位 y 异 或 仍 得 到 真正 随机 的 位 。Alice 的 协议 不 能 保证 两 个 位 是 独 
立 分 布 的 。 事 实 上 ， 不 难 验证 不 存在 能 让 两 个 能 力 无 限 的 团体 公平 抛 币 
的 思维 协议 。Alice 和 Bob 在 收 到 来 自 密 人 码 学 方面 的 一 个 无 名 研究 生 的 一 
封 信和 后 才 走 出 了 困境 。 信 上 的 信息 抽象 得 对 任何 人 都 不 会 有 用 ， 但 随 信 
用 的 信封 却 是 随手 可 得 的 。 








接 下 来 ，Alice 和 Bob 和 而 望 抛 币 ， 他 们 对 原 协 议 版 本 进行 了 修改 。 首 
先 ，Bob 确 定 一 位 ， 但 这 次 他 不 立即 宣布 ， 只 是 将 它 写 在 纸 上 ， 并 装 入 
信封 中 。 接 下 来 ，Alice 公 布 她 选 的 位 。 最 后 ，Alice 和 Bob 从 信封 中 取出 
Bob 的 位 并 计算 随机 位 。 只 要 至 少 一 方 诚实 地 执行 协议 ， 这 位 的 确 是 真 
正 随机 的 。Alice 和 Bob 有 了 这 个 可 以 工作 的 协议 ， 密 码 学 家 梦想 的 社会 
关系 实现 了 ， 他 们 从 那 以 后 过 得 很 恰 快 。 


那些 信封 很 像 位 承诺 模糊 点 。 当 Manuel Blum 通 过 调制 解 调 器 引入 
抛掷 公平 硬币 问题 时 [1944 ， 他 利用 位 承诺 协议 解决 了 此 问题 : 


(1) Alice 利 用 在 4.9 市 中 所 列 的 任意 一 个 位 承诺 方案 ， 对 一 个 随机 


位 承诺 。 


(2) Bob 试 图 去 猜测 这 位 。 


(3) Alice 出 示 这 位 给 Bob， 如 果 Bob 正 确 地 猜 出 这 位 ， 他 就 赢得 了 
这 次 抛 币 。 


一 般 来 说 ， 需 要 一 个 具有 如 下 性 质 的 协议 : 
.Alice 必 须 在 Bob 猜 测 之 前 抛 币 。 
.在 听 到 Bob 的 猜测 后 ，Alice 不 能 再 抛 币 。 


Bob 在 猜测 之 前 不 能 知道 硬币 怎么 落地 的 。 








以 下 几 种 方法 可 用 来 实现 具有 这 些 性 质 的 协议 。 





4.10.1 使 用 单 癌 函数 的 抛 币 协议 


如 果 Alice 和 Bob 对 使 用 单 癌 函数 达成 一 致意 见 ， 协 议 非常 简单 : 


(1) Alice 选 择 一 个 随机 数 x， 她 计算 y=f (x) ， 这 里 f Cx) Æ% j] 
函数 。 


(2) Alice 将 y 送 给 Bob。 
(3) Bob 猜 测 x 是 偶数 或 奇数 ， 并 将 猜测 结果 发 送 给 Alice。 


(4) 如 果 Bob 的 猜测 正确 ， 则 抛 币 结果 为 正面 ;如果 Bob 的 猜测 错 
误 ， 则 抛 币 的 结果 为 反面 。Alice 公 布 此 次 抛 币 的 结果 ， 并 将 x 发 送 给 


Bob. 
(5) Bob 确 信 y=f (x) 。 


此 协议 的 安全 性 取决 于 单 向 函数 。 如 果 Alice 能 找到 x 和 x'"， 满 足 x 为 
偶数 而 x' 为 奇数 ， 且 y=f (x) =f (x') ， 那 么 她 每 次 都 能 欺骗 Bob。 
f(x) 没有 意义 的 位 也 必须 与 x 不 相关 ， 否 则 Bob 至 少 某 些 时 候 能 够 苏 骗 
Alice。 例 如 ， 如 果 x 是 偶数 ，f Ox) 产生 偶数 的 次 数 占 75% ，Bob 就 有 优 
势 。 (有 时 没有 意义 的 位 在 这 个 应 用 中 不 是 使 用 得 最 好 的 位 ， 因 为 它 可 
能 更 易于 计算 。) 





4.10.2 ”使 用 公开 密 钥 密码 系统 的 抛 币 协议 





这 个 协议 既 可 与 公开 密 钥 密码 系统 又 可 与 对 称 密码 系统 一 起 工作 。 
唯一 要 求 是 算法 满足 交换 律 ， 即 


V 


Dr 1 (Ek? CEK 1 ， (M) ) ) =Ex 2 (M) 








一 般 来 说 ， 对 对 称 算法 这 个 特性 并 不 满足 ， 但 对 某 些 公 开 密 钥 算 法 
古 正确 的 (例如 ， 有 相同 模 数 的 RSA 算 法 ) 。 协 议 如 下 : 


(1)〉Alice 和 Bob 都 产生 一 个 公开 密 钥 /私人 密 钥 对 。 


(2) Alice 产 生 两 个 消息 ， 一 个 指示 正面 ， 另 一 个 指示 反面 。 这 些 


消息 中 包含 有 茶 个 唯一 的 随机 串 ， 以 便 以 后 能 够 验证 其 在 协议 中 的 真实 
性 。Alice 用 她 的 公开 密 钥 将 两 个 消息 加 密 ， 并 以 随机 的 顺序 把 他 们 发 给 


Bob: EA (M; ) ’ EA (M, ) o 


(3) Bob 由 于 不 能 读 懂 其 中 任意 一 消息 ， 他 随机 地 选择 一 个 。 他 用 
他 的 公开 密 钥 加 密 并 回 送 给 Alice: Ep (Œa M) ) 。 其 中 ，M 是 Mj 





或 M， 。 
(4) Alice 由 于 不 能 读 懂 送 回 给 她 的 消息 ， 就 用 她 的 私人 密 钥 解密 
并 回 送 给 Bob: Dy (Ep (Ea M) ) ) =E。 (M,) (M=M1 ) 或 Ep 


(M,) (M=M,) . 





(5) Bob 用 他 的 私人 密 钥 解密 消 有 息 ， 得 到 抛 币 结果 。 他 将 解密 后 的 


消息 送 给 Nice: Dp (Ep (M,) ) =M Dg (Ep M; ) ) =M,。 
(6) Alice 读 抛 币 结果 ， 并 验证 随机 串 的 正确 性 。 


(7) Alice 和 Bob 出 示 他 们 的 密 钥 对 以 便 双 方 能 验证 对 方 没有 欺 
VE. 
这 个 协议 是 自我 实施 的 。 任 意 一 方 都 能 即时 检测 对 方 的 欺诈 ， 不 需 
要 可 信 的 第 三 方 介入 实际 的 协议 和 协议 完成 后 的 任何 仲裁 。 让 我 们 试图 
欺诈 ， 看 看 协议 是 如 何 工作 的 。 


如 果 Alice 想 欺 骄 ， 强 制 为 正面 ， 她 有 三 种 可 能 的 方法 影响 结果 。 第 





一 种 方法 ， 她 可 以 在 第 (2) 步 中 加 密 两 个 “正面 ”的 消息 。 在 第 〈7) 步 
Alice 出 示 她 的 密 钥 时 ，Bob 就 可 以 发 现 这 种 欺骗 。 第 三 种 方法 ，Alice 在 
第 (4) 步 时 用 一 些 其 他 的 密 钥 解密 消息 ， 将 产生 一 些 乱 七 八 糟 的 无 用 
消息 ，Bob 可 在 第 〈5) 步 中 发 现 。 第 三 种 方法 ，Alice 可 在 第 (6) WH 
否认 消息 的 有 效 性 ， 当 在 第 〈7) 步 中 Alice 不 能 证 明 消 息 无 效 时 ，Bob 
就 可 以 发 现 。 当 然 ，Alice 可 以 在 任何 一 步 拒绝 参与 协议 ， 这 样 Alice 坎 
骗 Bob 的 企图 就 显而易见 了 。 





如 果 Bob 想 雁 骗 并 强制 为 < 反面"*， 那 么 他 的 选择 性 不 大 。 他 可 以 在 
第 (3) 步 中 不 正确 地 加 密 一 个 消息 ， 但 Alice 在 第 (6) PEARKE 
时 就 可 以 发 现 它 。 他 可 以 在 第 (5) 步 中 进行 不 适当 的 操作 ， 但 这 也 会 
导致 乱七八糟 的 无 用 消息 ，Alice 可 在 第 (6) 步 中 发 现 。 他 可 以 声称 由 
于 Alice 那 方面 的 欺诈 使 他 不 能 适当 地 完成 第 〈5) 步 的 操作 ， 但 这 种 形 
式 的 欺诈 能 在 第 (7) 步 中 发 现 。 最 后 ， 他 可 能 在 第 (5) 步 中 给 Alice 一 
个 “反面 ?的 消 轧 ， 而 不 管 他 解密 获得 的 消 轧 是 什么 ，Alice 都 能 在 第 
(6) 步 中 立即 检查 消息 的 真实 性 。 











4.10.3” 抛 币 入 井 协 议 


注意 在 所 有 这 些 协议 中 ，Alice 和 Bob 不 能 同时 知道 抛 币 的 结果 。 每 
个 协议 有 一 个 点 ， 在 这 个 点 上 其 中 一 方 《 如 开始 两 个 协议 中 的 Alice， 最 
后 一 个 协议 中 的 Bob) 知道 抛 币 结果 ， 但 不 能 改变 它 。 然 而 ， 这 一 方 能 





推迟 向 另 一 方 泄露 结果 。 这 称 为 抛 币 人 井 协 议 flipping coins into a 
well) 。 设 想 有 一 口 间 ，Alice 在 井 的 和 旁边， 而 Bob 远 离 这 口 井 。Bob 将 
币 抛 进 井 里 去 ， 币 停留 在 井中 ， 现 在 Alice 能 够 看 到 井中 的 结果 ， 但 她 不 
能 到 井 底 去 改变 它 。Bob 不 能 看 到 结果 ， 直 到 Alice 让 他 走 到 足够 近 时 ， 
才能 看 到 。 











4.10.4 使 用 抛 币 产生 密 铀 





这 个 协议 的 实际 应 用 是 产生 会 话 密 铀 。 抛 币 协议 能 让 Alice 和 Bob 产 
生 随 机 会 话 密 钥 ， 以 便 双方 都 不 能 影响 密 钥 产 生 的 结果 。 假 定 Alice 和 
Bob 加 密 他 们 的 交换 ， 这 个 密 钥 产 生 方 法 在 存在 鳃 听 时 也 是 安全 的 。 





4.11 智力 扑克 


这 是 一 个 类 似 于 公平 硬币 抛掷 协议 的 协议 ， 它 允许 Alice 和 Bob 通 过 
电子 邮件 打 扑 克 。 这 里 Alice 不 是 产生 和 加 密 两 个 消息 : 一 个 < 正面 和 一 
个 “< 反面”， 而 是 产生 52 个 消息 M ，M, ，..,，M。 ， 每 个 代表 一 副 牌 中 
的 一 张 牌 。Bob 随 机 选取 5 张 牌 ， 用 他 的 公开 密 钥 加 密 ， 然 后 回 送 给 
Alice。Alice 解 密 消息 并 回 送 给 Bob，Bob 解 密 它们 以 确定 他 的 一 手 牌 
然后 ， 当 Bob 接 收 到 Alice 发 送 的 消息 时 ， 他 随机 选择 另外 5 个 消息 ， 并 
发 给 Alice，Alice 解 密 它们 ， 并 且 它 们 变 成 她 的 一 手 牌 。 在 游戏 期 间 ， 
可 通过 重复 这 些 过 程 来 为 任意 一 方 发 其 他 的 牌 。 在 游戏 结束 时 ，Alice 和 
Bob 双 方 出 示 他 们 的 牌 和 密 钥 对 使 任意 一 方 确信 对 方 没有 作 浆 。 








4.11.1 三 方 智力 扑克 








人 较 多 时 玩 扑 殉 会 更 有 趣 。 基 本 的 智力 扑克 协议 可 以 很 容易 地 扩展 
到 三 个 或 更 多 个 玩家 。 在 这 种 情况 下 ， 密 码 算法 也 必须 是 可 交换 的 。 





(1) Alice、Bob 和 Carol 都 产生 一 个 公开 密 钥 /私人 密 钥 对 。 


(2) Alice 产 生 52 个 消息 ， 每 个 代表 一 副 牌 中 的 一 张 牌 。 这 些 消 筷 
应 包含 一 些 唯一 的 随机 串 ， 以 便 她 能 在 以 后 验证 它们 在 协议 中 的 真实 
性 。Alice 用 她 的 公开 密 钥 加 密 所 有 这 些 消 轧 ， 并 将 它们 发 送 给 Bob: EA 


(M, ) « 


(3) Bob 不 能 阅读 任何 消息 ， 他 随机 选择 5 张 牌 ， 用 他 的 公开 密 铀 
加 密 ， 并 把 它们 回 送 给 Alice: Ep CEA (M,) ) 。 


(4) Bob 将 余下 的 47 张 牌 送 给 Carol: Ea (Mp) 。 


钥 加 密 ， 并 把 它们 送 给 Alice: Ec Ea (M,) ) © 


(6) Alice 也 不 能 阅读 回 送 给 她 的 消 轧 ， 她 用 她 的 私人 密 钥 对 它们 
解密 ， 然 后 送 给 Bob 或 Carol〈 依 据 来 目 谁 而 定 ) : DA Œg CE, (My 
PIE UNS) Dy se en C= Gs 


(7) Bob 和 Carol 用 他 们 的 密 钥 解 密 并 获得 他 们 的 牌 : Dp (Eg 
(M,) ) =M,, De (Ec (M,) ) =M,- 


Carol 从 余下 的 42 张 牌 中 随机 取 5 张 ， 把 它们 发 送 给 Alice: Eq 


WY 


(8 


(M, ) « 


WY 


(9) Alice 用 她 的 私人 密 钥 解密 消 妃 获得 她 的 牌 : DA CE, Mn 


) ) =M, 


(10) 在 游戏 结束 时 ，Alice、Bob 和 Carol 都 出 示 他 们 的 脾 和 他 们 的 
密 钥 ， 以 便 每 人 都 确信 没有 人 作 闵 。 


其 他 的 牌 可 以 用 同样 的 方式 处 理 。 如 有 果 Bob 或 Carol 想 要 牌 ， 任 何 一 
个 人 能 够 取 被 加 密 的 牌 ， 并 和 Alice 一 起 履行 该 协议 。 如 果 Alice 想 要 一 
张 牌 ， 当 前 得 到 牌 的 任何 人 都 随机 发 给 她 一 张 牌 。 


在 理想 情况 下 ， 第 (10) 步 是 不 必要 的 。 协 议 结束 后 ， 不 应 该 要 求 
所 有 选手 都 出 示 他 们 的 牌 ， 只 有 那些 没有 出 完 牌 的 人 被 要 求 如 此 。 由 于 
B AO 步 只 是 设计 抓 住 骗子 的 部 分 ， 所 以 也 可 能 有 改进 。 


在 扑 殉 中 ， 人 们 只 对 启 家 是 否 欺 骗 感 兴趣 。 只 要 他 们 仍然 失败 ， 其 
他 每 个 人 也 能 进行 他 们 想 要 的 欺骗 。 (事实 上 ， 这 确实 是 不 对 的 。 当 失 
败 时 ， 可 以 收集 其 他 玩家 的 玩 牌 风格 的 数据 ) 。 让 我 们 看 看 不 同 选手 启 
牌 的 情况 。 








如 果 Alice 顾 了， 她 出 示 她 的 牌 和 她 的 密 钥 。Bob 能 够 用 Alice 的 私人 
密 钥 确认 Alice 是 合法 地 进行 了 第 (2) 步 一 一 52 个 消息 分 别 对 应 一 张 不 
同 的 有 牌 。Carol 通 过 用 Alice 的 公开 密 钥 加 密 牌 ， 并 验证 是 与 她 在 第 〈8) 
步 中 送 给 Alice 的 加 密 消 妃 相 同 ， 从 而 确认 Alice 没 有 对 出 的 牌 撤 谨 。 





如 果 Bob 或 Carol 局 了 ， 顾 牌 者 将 出 示 他 们 的 牌 以 及 密 铀 。Alice 可 以 
通过 检查 她 的 随机 串 来 确信 这 些 牌 是 合法 的 。 她 也 能 确信 通过 用 赢家 的 
公开 密 钥 对 牌 加密 的 牌 是 发 的 牌 ， 并 验证 与 她 在 第 (3) 步 或 第 〈5) 步 
中 收 到 的 加 密 消 息 相同 。 


当 恶 意 的 玩家 串通 时 ， 这 个 协议 便 不 安全 了 。Alice 和 其 他 玩家 可 以 





有 效 地 联合 起 来 对 付 第 三 方 ， 在 不 引起 怀疑 的 情况 下 骗取 其 所 有 东西 。 

因此 ， 每 次 检查 玩家 出 的 牌 中 的 随机 串 和 所 有 的 密 钥 很 重要 。 如 末 你 与 
两 个 从 未 出 示 他 们 有 牌 的 人 坐 在 虚拟 架子 上 ， 且 其 中 一 个 为 及 牌 者 “上述 
协议 中 的 Alice》 时 ， 你 束 应 该 集 止 玩 了 。 





4.11.2 ”对 扑克 协议 的 攻击 


密码 学 家 已 经 证 明 ， 如 果 使 用 RSA 算 法 ， 那 么 这 些 扑克 协议 会 泄露 
少量 的 消息 [453 573] 。 具 体 来 说 ， 如 果 牌 的 二 进 制 表示 是 二 次 方程 的 
残 数 参见 11.3 市 ) ， 那 么 牌 的 加 密 也 为 二 次 方程 的 残 数 。 这 个 特性 可 
用 来 标记 某 些 牌 一 一 比如 ， 所 有 的 “A”。 虽 然 不 能 泄露 许多 牌 ， 但 在 诸 
如 扑 殉 游戏 中 ， 在 最 后 即便 是 一 个 微小 的 位 消息 也 会 有 用 。 





Shafi Goldwasser 和 Silvio Micali 1641 设计 了 一 个 两 人 玩 的 智力 扑 
克 游 戏 协议 ， 它 解决 了 这 个 问题 ,但 由 于 其 太 复 杂 、 太 理论 化 而 实用 性 
不 好 。 在 文献 L389]」 中 设计 了 消除 消息 泄露 问题 的 通用 n 方 扑克 协议 。 


其 他 对 扑克 协议 的 研究 可 在 文献 [573、1634、389 ] 中 找到 。 一 个 
允许 玩家 不 出 示 他 们 有 牌 的 复杂 协议 可 在 文献 [390] 中 找到 。Don 
Coppersmith 讨 论 了 在 利用 RSA 算 法 的 智力 扑 元 游戏 中 两 种 作 凌 的 方法 


[370] | 


411.3 匿名 密 钥 分 配 


在 人 们 利用 这 个 协议 通过 调制 解 调 占 玩 扑 殉 是 不 太 可 能 的 时 候 ， 
Clarles Pfleeger 讨 论 了 这 样 一 种 情况 ， 使 得 这 类 协议 迟早 有 用 A 。 


考虑 密 钥 分 配 问题 。 如 果 假 定 人 们 不 能 产生 他 们 上 自己 的 密 钥 〈 它 们 
必须 为 某 种 形式 ， 或 必须 被 某 组 织 签 名 ， 或 类 似 的 要 求 ) 。 必 须 设置 
KDC 来 产生 和 分 配 密 钥 。 问 题 是 必须 找 出 一 些 密 钥 分 配方 法 使 得 没有 人 
(包括 服务 器 知道 谁 得 到 了 什么 密 钥 








下 面 的 协议 解决 了 这 个 问题 : 


(1) Alice 产 生 一 个 公开 密 钥 / 私人 密 钥 对 。 对 这 个 协议 ， 她 保持 
这 两 个 密 钥 秘密 。 


(2) KDC 产 生 连 续 的 密 钥 序列 。 


(3) KDC 用 和 它 目 己 的 公开 密 钥 ， 逐 个 地 将 这 些 密 钥 加 密 。 


(4) KDC 逐 个 地 将 这 些 加 密 后 的 密 钥 传送 到 网 上 。 


(5) Alice 随 机 选择 一 个 密 钥 。 


(6) Alice 用 她 的 公开 和 密 钥 加 密 所 选 的 密 钥 。 





(7) Alice 等 一 段 时 间 (要 足够 长 使 得 服务 器 不 知道 她 选择 了 哪个 
密 钥 ) ， 将 这 个 双重 加 密 的 密 钥 送 回 KDC。 


(8) KDC 用 它 的 私人 密 钥 解 密 双 重 加 密 的 密 钥 ， 得 到 一 个 用 Alice 
的 公开 密 钥 加 密 的 密 钥 。 


(9) 服务 器 将 此 加 密 密 钥 送 给 Alice。 


(10) Alice 用 她 的 私人 密 钥 解密 这 个 密 钥 。 


Eve 在 这 个 协议 过 程 中 也 不 知道 Alice 选 择 了 什么 密 钥 。 她 在 第 
(4) 步 看 到 了 连续 密 钥 序列 通过 。 当 Alice 在 第 〈7) 步 将 密 钥 送 回 给 服 
务 器 时 ， 用 她 的 公开 密 钥 加 密 ， 而 公开 密 钥 在 协议 期 间 也 是 秘密 的 。 
Eve 没 法 将 它 与 密 钥 序列 关联 起 来 。 当 服务 器 在 第 (9) 步 将 密 钥 送 回 给 
Alice 时 ， 也 是 用 Alice 的 公开 密 钥 加密 的 。 仅 当 Alice 在 第 〈10) 步 解密 
密 钥 时 ， 才 知道 密 钥 。 








如 果 你 用 RSA， 这 个 协议 以 每 个 消息 1 位 的 速度 泄露 信息 。 它 又 是 
二 次 方程 的 残 数 。 如 果 你 准备 用 这 种 方式 分 配 密 钥 ， 那 么 必须 确保 泄露 
古 无 关 紧 要 的 。 来 自 KDC 的 密 钥 序 列 也 必须 足够 长 ， 以 阻止 祁 举 攻击 。 
当然 ， 如 果 Alice 不 信任 KDC， 她 就 不 应 该 从 KDC 得 到 密 铀 。 恶 意 的 
KDC 可 以 预先 记录 它 所 产生 的 所 有 密 钥 。 然 后 ， 它 能 搜索 所 有 的 密 钥 ， 
决定 哪 一 个 是 Alice 的 。 


这 个 协议 也 假定 Alice 行 为 正当 。 利 用 RSA 算 法 ， 她 能 够 做 其 他 事情 
来 得 到 更 多 的 信息 。 在 这 个 方案 中 ， 这 不 成 问题 ， 但 在 其 他 环境 可 能 存 


在 问题 。 








4.12 Aja) Ahn 


Alice 是 Cabal 公 司 的 一 个 成 员 。 有 了 时候， 她 必须 在 光线 暗淡 的 旅馆 
与 其 他 成 员 会 虞 。 问 题 是 旅馆 的 光线 非常 瞳 ， 以 至 于 她 难于 知道 果子 对 
面 的 人 是 否 也 是 他 们 的 成 员 。 








Cabal 公 司 可 以 选择 多 种 解决 方案 。 一 种 方案 是 ， 每 个 成 员 可 以 携 
带 一 个 成 员 名 单 ， 这 有 两 个 问题 。 一 是 每 人 都 必须 携带 一 个 大 的 数据 
库 ， 二 是 他 们 必须 很 好 地 保护 成 员 名 单 。 男 一 种 选择 是 ， 一 个 值得 信任 
的 秘书 能 够 发 布 数字 签名 的 身份 卡 。 这 样 做 增加 了 让 外 来 者 验证 成 员 的 
好 处 例如 ， 在 本 地 食品 店 打折 〉， 但 是 它 需 要 可 信任 的 秘书 ， 在 
Cabal 公 司 没 有 人 能 够 被 信任 到 那 种 程度 。 











新 的 解决 方案 是 使 用 叫做 单 癌 累加 磊 (one-way accumulator) 的 东 
西 LSI 。 除 了 可 交换 外 ， 它 类 似 单 向 散 列 函数 。 也 就 是 说 ， 用 任何 顺 
序 对 成 员 数 据 库 进行 散 列 运算 都 得 到 相同 的 值 是 可 能 的 。 而 且 ， 把 成 员 
加 入 到 散 列 中 得 到 新 的 散 列 ， 它 也 与 顺序 无 关 。 








那么 ， 这 是 Alice 做 的 事情 。 她 计算 除 她 自己 外 每 个 成 员 名 字 的 累加 
和 。 然 后 ， 她 把 那个 值 与 她 的 名 字 保 存在 一 起 。Bob 和 其 他 每 个 成 员 都 
做 和 Alice 一 样 的 事 。 现 在 ， 当 Alice 和 Bob 在 光线 暗淡 的 旅馆 会 面 时 ， 他 
们 简单 地 互相 交换 累加 值 和 名 字 ，Alice 确 信 Bob 的 名 字 加 上 他 的 累加 值 


等 于 Alice 的 名 字 加 上 她 的 累加 值 。Bob 做 同样 的 事情 。 现 在 他 们 两 人 知 
道 为 一 个 是 公司 成 员 。 同 时 ， 没 有 人 能 够 知道 任何 其 他 人 的 里 份 。 








甚至 更 好 ， 非 成 员 能 知道 每 个 人 的 累加 值 。 现 在 Alice 能 够 对 非 成 员 
验证 他 的 成 员 资 格 ( 也 许 ， 在 他 们 的 本 地 反 间 谍 丙 店 为 成 员 打 折 〉 ， 非 
成 员 不 可 能 计算 出 全 部 成 员 资 格 的 名 单 。 


只 要 到 处 发 送 新 成 员 的 名 字 就 可 把 新 成 员 加 入 到 累加 值 中 。 不 地 的 
是 ， 删 除 成 员 的 唯一 方法 是 给 每 个 成 员 发 送 新 名 单 并 让 他 们 重新 计算 累 
加 值 。 如 果 有 人 群 职 ，Cabal 公 司 束 需要 这 样 做 ， 死 亡 的 成 员 则 可 以 保 
留 在 名 单 上 《很 奇怪 ， 这 绝 不 会 有 问题 ) 。 








在 没有 集中 签名 者 的 情况 下 ， 无 论 什 么 时 候 你 想 要 与 数字 签名 有 同 
样 的 效果 时 这 是 一 个 聪明 的 想法 ， 并 已 得 到 应 用 。 


4.13 ”秘密 的 全 或 无 泄露 


假设 Alice 是 苏联 的 前 代理 商 ， 现 在 失业 了 ， 她 为 了 挣 钱 ， 便 出 卖 机 
密 ， 任 何 愿 意 付 钱 的 人 都 可 以 买 到 秘密 。Alice 甚 至 还 有 一 个 目录 ， 上 所 有 
的 秘密 都 编写 列 出 ， 并 加 上 一 个 非常 探 人 的 标题 ，“Jimmy Hoffa 在 哪 
E? 关 谁 在 秘密 控制 着 三 方 妥 员 会 ? 交 为 什么 叶利钦 看 上 去 总 像 生 了 一 


只 活 青 蛙 ? ”等 。 








Alice 不 愿 为 一 个 秘密 的 价格 而 泄露 两 个 秘密 或 者 泄露 秘密 的 任何 一 
部 分 。Bob 是 一 个 潜在 的 买主 ， 他 不 想 为 随意 的 秘密 付 钱 ， 他 也 不 想 告 
诉 Alice 他 想 要 哪个 秘密 。 这 并 不 关 Alice 的 事 ， 此 外 Alice 可 能 在 她 的 目 
录 中 加 上 “Bob 对 什么 感 兴趣 ”这 一 条 。 


在 这 种 情况 下 不 能 使 用 扑克 协议 ， 因 为 在 协议 的 末尾 Alice 和 Bob 必 
须 互 相 挫 凰 。Bob 也 能 进行 欺骗 而 得 到 不 止 一 个 秘密 。 


这 个 解决 方案 就 叫做 秘密 的 全 或 无 泄露 (All-or-Nothing Disclosure 
Of Secret，ANDOS) 。 因 为 一 旦 Bob 得 到 了 不 管 是 Alice 的 秘密 中 的 哪 一 
个 ， 他 就 失去 了 获知 任何 其 他 秘密 的 机 会 。 








在 密码 学 文献 中 有 多 个 ANDOS 协 议 ， 其 中 一 些 将 在 23.9 节 中 讨论 。 


4.14 密 钥 托管 


下 面 这 段 话 摘自 Silvio Micali 的 专题 介绍 [1084」 : 


当前 ， 法 院 授权 许可 的 搭 线 鳃 昕 是 防止 犯罪 并 将 罪犯 绳 之 以 法 的 有 
效 方法 。 更 重要 的 是 ， 照 我 们 的 观点 ， 通 过 阻止 对 正常 网 络 通 信 的 非法 
使 用 也 防止 了 犯罪 的 进一步 扩散 。 因 此 ， 法 律 上 比较 关心 的 是 ， 公 开 密 
码 学 的 广泛 应 用 可 能 对 犯罪 和 奴 怖 组 织 有 很 大 帮助 。 实 际 上 ， 很 多 议案 
提议 : 一 个 适当 的 政府 机 关 ， 在 法 律 允许 的 情况 下 ， 应 当 可 以 获得 任何 
通过 公共 网 络 进行 通信 的 明文 。 目前， 这 个 要 求 可 能 意味 着 强迫 市 民 : 
(1) 要 么 使 用 弱 的 密码 系统 ， 即 有 关 当 局 (当然 也 可 以 是 任何 其 他 的 
ND 经 过 一 定 的 努力 可 以 破解 的 密码 系统 ，〈2) 要 么 事先 把 他 们 的 秘 
密 密 钥 交 给 当局 。 如 采 这 种 答 代 方法 会 从 法 律 上 提醒 许多 有 关 的 市 氏 ， 
让 他 们 觉得 国家 安全 和 法 律 强 制 应 在 隐私 之 上 的 话 ， 这 并 不 令 人 惊奇 。 

















密 钥 托管 是 美国 政府 的 Clipper 计 划 和 它 的 托管 加 密 标 准 (Escrowed 
Encryption Standard) 的 核心 。 这 里 面临 的 挑战 是 开发 一 个 密码 系统 ， 
既 要 保护 个 人 隐私 ， 同 时 又 要 允许 法 院 授权 的 搭 线 禄 听 。 


托管 加 密 标 准 通过 防 窜改 的 硬件 来 实现 安全 性 。 每 个 加 密 心 片 有 一 
个 唯一 的 卫 号 和 秘密 密 铀 ， 密 钥 分 为 两 部 分 ， 并 与 ID 号 一 起 由 两 个 不 同 
的 托管 机 构 存 储 。 世 片 每 次 加 密 数 据 文 件 ， 它 首先 用 唯一 的 秘密 密 钥 加 


密会 话 密 钥 ， 然 后 通过 信道 发 送 加 密 的 会 话 密 钥 和 它 的 ID 号 。 当 某 些 法 
律 执行 机 构想 用 这 些 尺 片 中 的 一 个 解密 加 密 的 消息 序列 时 ， 它 监听 ID 
写 ， 从 托管 机 构 收集 适当 的 密 钥 ， 把 它们 进行 异 或 ， 解 密会 话 密 钥 ， 然 
后 使 用 会 话 密 钥 解密 消 轧 序列 。 面 对 欺诈 者 ， 为 了 使 这 个 方 采 可 行 ， 它 
可 能 更 复杂 ， 细 市 见 24.16 市 。 这 也 可 用 软件 或 公开 密 钥 密码 术 来 实现 


L77~ 1570, 1580; 1581] ` 


Micali 称 他 的 思想 为 公平 密码 系统 (fair cryptosystem) 【1084、 
1085]」 。 〈 据 传 美国 政府 在 托管 加 密 标准 中 为 使 用 他 的 专利 花 了 100 万 美 
元 (1086. 1087] ， 然 后 Banker's Trust 购买 了 Micali 的 专利 。) 在 这 些 密 
码 系统 中 ， 私 人 密 钥 被 分 成 许多 部 分 ， 发 给 不 同 的 机 构 。 类 似 于 秘密 共 
享 方案 ， 这 些 机 构 可 集中 到 一 起 并 重新 构造 私人 密 钥 。 但 是 ， 这 些 密 钥 
碎片 具有 一 种 额外 的 性 质 : 无 需 重 新 构造 私人 密 钥 ， 就 能 分 别 验证 这 些 


Alice 可 以 产生 她 自己 的 私人 密 钥 并 给 n 个 托管 人 每 人 一 部 分 密 钥 。 

些 托管 人 中 没有 人 能 恢复 Alice 的 私人 密 钥 。 然 而 ， 所 有 这 些 托管 人 都 

验证 他 们 的 那 一 部 分 是 私人 密 钥 的 有 效 部 分 ，Alice 不 可 能 送 给 一 个 托 
管 人 随机 位 串 ， 并 希望 他 带 着 逃跑 了 。 如 宁 法 院 授权 搭 线 锣 听 ， 有 关 法 
律 执行 机 构 可 以 遵照 法 庭 的 命令 让 n 个 托管 人 交 出 他 们 的 那 一 部 分 密 
钥 。 用 所 有 这 mn 个 部 分 ， 执 行 机 构 重 新 构造 出 私人 密 钥 ， 并 能 够 对 Alice 
的 通信 线路 进行 搭 线 急 听 。 为 一 方面 ，Mallory 为 了 能 重新 构造 Alice 的 





密 钥 并 侵犯 她 的 隐私 ， 将 不 得 不 破坏 所 有 n 个 托管 人 。 


协议 执行 的 情况 如 下 : 


(1) Alice 产 生 她 的 私人 密 钥 / 公开 和 密 钥 对 ， 她 把 私人 密 钥 分 成 多 


个 公开 和 秘密 部 分 。 


(2) Alice 送 给 每 个 托管 人 一 个 公开 的 部 分 和 对 应 的 秘密 部 分 。 这 
些 消息 必须 加 密 。 她 也 把 公开 密 钥 送 给 KDC。 





(3) 每 个 托管 人 独立 地 完成 计算 以 确认 所 得 到 的 公开 部 分 和 秘密 
部 分 都 是 正确 的 。 每 个 托管 人 将 秘密 部 分 存放 在 安全 的 地 方 并 把 公开 部 
RIR SKDC: 





(4) KDC 对 公开 部 分 和 公开 密 钥 执行 另 一 种 计算 。 假 设 每 一 件 事 
都 是 正确 的 ，KDC 在 公开 密 钥 上 签名 ， 然 后 把 它 送 回 给 Alice 或 把 它 邮 
寄 给 某 处 的 数据 库 。 


如 果 法 庭 要 求 进行 搭 线 贸 听 ， 那 么 每 个 托管 人 就 把 他 的 那 部 分 交 给 
KDC，KDC 能 重新 构造 私人 密 钥 。 在 交 出 密 钥 前 ， 无 论 是 KDC 还 是 任 
何 一 个 托管 人 都 不 能 重新 构造 私人 密 钥 ， 所 有 托管 人 一 起 才能 重新 构造 


这 个 密 钥 。 








采用 这 种 方式 能 把 任何 公开 密 钥 密码 算法 都 做 成 是 公正 的 。 在 
23.10 节 中 讨论 一 些 特殊 算法 。Micali 的 文章 11084. 1085) 讨论 了 把 门限 


方案 与 这 个 协议 结合 起 来 的 办 法 ， 使 得 只 需要 托管 人 的 一 个 子 集 ( 例 

如 ，5 个 中 的 3 个 ) 便 能 重新 构造 私人 密 钥 。 他 还 讲述 了 怎样 将 不 经 意 传 
fay CALS. ST) 与 这 个 协议 结合 起 来 ， 使 托管 人 不 知道 是 谁 的 私人 密 钼 

正在 被 重新 构造 。 





公平 密码 系统 是 不 完善 的 。 徘 犯 能 够 利用 这 个 系统 ， 他 能 够 使 用 效 
下 信道 〈 见 4.2 节 ) 把 另 一 个 秘密 密 钥 能 入 他 的 那 部 分 。 采 用 这 种 方 
法 ， 使 用 阀 下 密 钥 ， 不 用 担心 法 院 授权 的 搭 线 历 听 ， 他 就 能 够 安全 地 与 
其 他 人 通信 。 田 一 个 叫做 防 故障 密 钥 托管 (failsafe key escrowing) 解 
决 了 这 个 问题 [346、833」 。23.10 节 描述 该 算法 和 协议 。 


密 钥 托管 的 政治 


除了 政府 的 密 钥 托管 计划 外 ， 多 个 商业 密 钥 托管 正在 付 诸 实施 。 这 
里 有 一 个 显而易见 的 问题 : 对 用 户 来 说 ， 密 钥 托管 的 好 处 是 什么 ? 





实际 上 没有 任何 好 处 ， 用 户 不 能 从 密 钥 托管 得 到 任何 东西 。 如 果 他 
愿意 ， 他 可 以 备份 他 的 密 钥 〈 见 8.8 节 ) 。 密 钥 托管 保证 : 即使 使 用 了 
加 密 ， 和 警察 也 能 够 锣 听 他 的 谈话 或 阅读 他 的 数据 文件 。 它 还 保证 : 即使 
使 用 加 密 ，NSA 不 经 批准 也 能 够 锣 听 他 的 国际 电话 。 也 许 ， 他 将 和 梓 允 许 
在 目前 反对 密 钥 托管 的 国家 使 用 密码 ， 这 似乎 好 像 是 唯一 的 好 处 。 





密 钥 托管 有 相当 大 的 缺陷 。 用 户 不 得 不 相信 托管 机 构 的 安全 性 程 


序 ， 以 及 参与 人 的 诚实 。 他 不 得 不 相信 托管 机 构 没 有 改变 他 们 的 策略 ， 
政府 没有 改变 他 的 法 律 ， 那 些 得 到 密 钥 的 执法 机 构 和 托管 机 构 会 合法 地 
MARAME. WORE PARE FAA, BOR, EAT 
么 样 的 限制 不 能 抛 到 一 边 呢 ? 


难于 想象 托管 加 密 方 案 工 作 会 像 它 们 的 发 起 人 设想 的 那样 没有 一 些 
法 律 压力 。 很 明显 下 一 步 是 茶 止 使 用 非 托 管 加 密 ， 这 可 能 是 使 商业 系统 
付费 的 唯一 办 法 ， 并 且 它 肯定 是 使 扩 术 上 证 有 经 验 的 罪犯 和 怒 怖 分 子 使 
用 筷 的 唯一 方法 。 不 清楚 要 使 非 托管 密 码 成 为 非法 将 会 遇 到 什么 阻力 ， 
或 者 它 怎么 影响 作为 研究 学 科 的 密码 学 。 就 我 而 言 ， 没 有 软件 非 托 管 加 
密 设 备 ， 我 能 研究 面向 软件 的 加 密 算法 吗 ? 我 还 需要 特别 的 许可 吗 ? 

















还 有 法 律 上 的 问题 。 如 果 有 加 密 数 据 被 破解 ， 托 管 密 钥 怎 么 影响 用 
户 的 贡 任 ? 如 果 美 国政 府 试 图 保护 托管 结构 ， 是 不 是 有 隐 含 的 假设 ， 在 
用 户 或 托管 机 构 都 会 危及 秘密 的 安全 时 ， 浊 密 的 一 定 是 用 户 ? 





对 于 政府 或 商业 性 的 密 钥 托管 服务 而 言 ， 如 果 它 的 整个 托管 密 钥 数 
据 库 被 偷盗 了 该 怎么 办 ? 如 宁 美 国政 府 试图 对 它 保 持 一 段 时 间 的 沉默 又 
会 怎么 样 呢 ? 很 清楚 ， 这 会 对 使 用 密 钥 托 管 的 用 户 愿 望 产 生 影响 ， 如 果 
不 是 目 愿 的 ， 这 样 的 一 些 丑 闻 又 将 增加 政治 压力 ， 迫 使 政府 要 么 让 其 成 
为 自愿 ， 要 么 对 该 产业 增加 新 的 复杂 规定 。 





更 为 危险 的 是 现 政 府 的 政治 对 手 、 对 某 些 情报 或 警察 机 构 坦 率直 言 





的 批评 家 已 经 被 监视 多 年 的 丑闻 会 公 之 于 世 。 这 可 能 引起 公众 强烈 地 反 
对 托管 加 密 的 情绪 。 





如 果 签 名 密 钥 和 加 密 密 钥 一 样 被 托管 ， 存 在 更 多 的 问题 。 当 局 使 用 
签名 密 钥 执行 操作 反对 可 疑 非 犯 能 否 被 接受 ? 基于 托管 密 钥 签 名 的 真实 
EERE ERER? 如 果 当 局 和 俭 普 一 些 不 宜 的 合同 ， 以 帮助 国家 扶 
持 的 工业 ， 或 者 只 是 为 了 偷 贸 金钱 ， 而 使 用 他 们 的 签名 密 钥 ， 用 户 会 有 
ITA FEIE RBE? 





密码 的 全 球 化 导致 了 另外 一 些 问题 ， 密 钥 托管 政策 在 其 他 国家 将 会 
BUG? 跨国 公司 为 了 保持 与 各 种 地 方法 律 一 致 ， 他 们 必须 在 每 个 国家 
保持 单独 的 托管 密 钥 吗 ? 如 果 疫 有 茶 种 一 致 性 ， 密 钥 托管 方案 的 好 处 之 
一 《强加 密 的 国际 化 使 用 ) US o 





如 采 有 些 国家 根本 不 接受 托管 机 构 的 安全 性 会 怎么 样 呢 ? 用 户 在 那 
里 怎么 做 生意 呢 ? 他 们 的 数字 化 合同 能 得 到 当地 法 院 的 支持 吗 ? 或 者 他 
们 的 签名 密 钥 托管 在 美国 的 事实 会 允许 他 们 在 瑞士 声称 别 的 人 也 可 能 签 
闭 他 的 电子 合同 吗 ? 在 这 些 国家 做 生意 的 人 是 人 否 有 特殊 的 弃权 呢 ? 





工业 间谍 又 会 怎么 样 呢 ? 没有 理由 相信 那些 目前 正在 为 其 重要 的 或 
政府 性 质 的 公司 从 事 间 谍 活 动 的 国家 会 放弃 在 密 钥 托管 加 密 系 统 上 做 手 
脚 。 的 确 ， 由 于 事实 上 没有 哪个 国家 会 允许 其 他 国家 监视 自己 的 情报 工 
作 ， 所 以 托管 加 密 的 广泛 使 用 必 将 可 能 增加 搭 线 鳃 听 的 盛行 。 





即使 具有 良好 公民 权 记 录 的 国家 ， 其 使 用 密 钥 托管 只 是 为 了 合法 退 
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勒索 倾 同 的 政敌 等 。 数 字 通 信和 在 监视 公民 的 行动 、 意 见 、 购 买 和 集会 等 
一 整套 工作 上 提供 的 机 会 比 模拟 世界 可 能 提供 的 机 会 大 得 多 。 








人 们 不 清楚 20 年 以 后 这 种 情况 对 商用 密 钥 托管 将 有 怎样 的 影响 ， 向 
土耳其 出 售 现 成 的 密 钥 托管 系统 ， 束 类 似 于 20 世 纪 70 年 代 疝 南非 出 售 电 
棍 和 20 世 纪 80 年 代为 伊拉克 建立 化 工 广 。 更 糟糕 的 是 ， 由 于 这 种 对 通信 
的 贸 听 十 分 易 行 且 不 可 能 被 跟踪 ， 所 以 可 能 诱 使 许多 政府 对 其 大 多 数 公 
民 的 通信 进行 跟踪 ， 甚 至 连 以 前 不 打算 这 样 做 的 政府 也 会 如 此 ， 因 而 不 
能 保证 自由 民主 社会 能 抵御 这 种 诱 


第 5 章 ”高 级 协议 


5.1 零 知 识 证 明 


下 面 是 为 一 个 故事 : 


Alice: “我 知道 联邦 储备 系统 计算 机 的 口令 ， 汉 堡 包 秘密 调味 汁 的 
成 分 以 及 Knuth 第 4 疮 的 内 容 。” 


Bob: “不 ， 你 不 知道 。” 
Alice: “我 知道 。” 
Bob: “你 不 知道 ! ” 


Alice: “我 确实 知道 ! ” 





Bob: “请 你 证 实 这 一 点 ! ” 


Alice:“ 好 吧 ， 我 告诉 你 ! ”( 她 悄悄 地 说 出 了 口令 。) 


Bob: “KAWI! 现在 我 也 知道 了 。 我 要 告诉 《华盛顿 邮 报 》。” 


Alice: “啊呀 ! ” 


不 笠 的 是 ，Alice 要 证 明 一 些 事情 给 Bob 的 常用 方法 是 告诉 Bob。 但 
这 样 一 来 Bob 也 知道 了 这 些 事情 。 现 在 ，Bob 就 可 以 告诉 他 想 要 告诉 的 
其 他 人 ， 而 Alice 对 此 毫 无 办 法 。 (在 文献 中 ， 协 议 常 常 使 用 不 同 的 人 
物 。Peggy 通 常 扮 成 证 明 者 ， 而 Victor 则 扮 成 验证 者 ， 他 们 的 名 字 将 代替 
Alice 和 Bob 出 现在 下 面 的 例子 中 。) 


Peggy 可 使 用 单 癌 函数 进行 零 知 识 证 明 (zero-knowledge proof) 
L626] 。 这 个 协议 向 Victor 证 明 Peggy 确 实 拥有 一 部 分 信息 ， 但 却 没 有 告 


诉 Victor 这 个 信息 是 什么 。 


这 些 证 明 采 取 了 交互 式 协议 的 形式 。Victor 问 Peggy 一 系列 问题 ， 如 
果 Peggy 知 道 那个 信息 ， 她 就 能 正确 地 回答 所 有 问题 ， 如 果 她 不 知道 ， 
她 仍 有 正确 回答 的 机 会 (在 如 下 例子 中 有 50% 的 机 会 )。 大 约 在 10 个 问 
题 之 后 ， 将 使 Victor 确 信 Peggy 知 道 那 个 信息 。 然 而 ， 所 有 的 问题 或 回答 
都 没有 给 Victor 提 供 关 于 Peggy 所 知道 信息 的 任何 信息 一 一 只 有 Peggy 知 


道 这 个 信息 。 





5.1.1 基本 的 零 知 识 协议 


Jean-Jacques Quisquater 和 Louis Guillou 用 一 个 关于 洞穴 的 故事 来 解 
释 零 知识 [1281」 。 见 图 5-1， 洞 穴 里 有 一 个 秘密 ， 知 道贺 语 的 人 能 打开 
C 和 DD 之 间 的 密 门 。 对 其 他 任何 人 来 说 ， 两 条 通道 都 是 死胡同 。 








图 5-1 零 知 识 洞 穴 








Peggy 知 道 这 个 洞穴 的 秘密 。 她 想 对 Victor 证 明 这 一 点 ， 但 她 不 想 泄 
露 见 语 。 下 面 是 她 如 何 使 Victor 相 信 的 过 程 : 


(1) Victor 站 在 A 点 。 
(2) Peggy 一 直 走 进 洞 从 ， 到 达 C 点 或 者 D 点 。 


(3) 在 Peggy 消 失 在 洞穴 中 之 后 ，Victor 走 到 B 点 。 


(4) Victor 向 Peggy 喊 叫 ， 要 她 : 

(a) 从 左 通道 出 来 ， 或 者 

Cb) 从 右 通道 出 来 。 

(5) Peggy 答 应 了 ， 如 果 有 必要 她 就 用 加 语 打开 密 门 。 
(6) Peggy#l Victor 228 (1) ~ (5) 步 n 次 。 


假设 Victor 有 一 个 摄像 机 能 记录 他 所 看 到 的 一 切 。 他 记录 Peggy 消 失 
在 洞 中 的 情景 ， 记 录 他 喊叫 Peggy 从 他 选择 的 地 方 出 来 的 时 间 ， 记 录 
Peggy 走 出 来 。 他 记录 所 有 n 次 试验 。 如 果 他 把 这 些 记录 给 Carol 看 ， 她 
az KH (a Peggy AE FT FPA PT SCS? 肯定 不 会 。 在 不 知道 咒语 的 情况 
下 ， 如 果 Peggy 和 Victor 事 先 商 定好 Victor 喊 叫 什 么 ， 那 将 如 何 呢 ? Peggy 
会 确信 她 走 进 Victor 叫 她 出 来 的 那 一 条 路 ， 然 后 她 就 可 以 在 不 知道 区 语 
的 情况 下 在 Victor 每 次 要 她 出 来 的 地 方 出 来 。 或 许 他们 不 那么 做 ，Peggy 
走 进 其 中 一 条 通道 ，Victor 发 出 一 个 随机 的 要 求 ， 如 宁 Victor 猜 对 了 ， 好 
极 了 ;如 宁 他 猜 错 了 ， 他 们 会 从 录像 市 中 删除 这 个 试验 。 总 之 ，Victor 
能 获得 一 个 记录 ， 它 准确 显示 与 实际 证 明 Peggy 知 道 先 语 相 同 的 事件 顺 





这 说 明了 两 件 事情 。 其 一 ，Victor 不 可 能 使 第 三 方 相信 这 个 证 明 的 
有 效 性 ， 其 二 ， 它 证 明了 这 个 协议 是 零 知 识 的 。 在 Peggy 丰 知道 完 语 的 





情况 下 ，Victor 显 然 不 能 从 记录 中 获悉 任何 信息 。 但 是 ， 因 为 无 法 区 分 
一 个 真实 的 记录 和 一 个 伪造 的 记录 ， 所 以 Victor 不 能 从 实际 证 明 中 了 解 
任何 信息 





它 必定 是 零 知识 。 





协议 使 用 的 技术 叫做 分 割 选择 (cut and choose) ， 因 为 它 类 似 于 如 
下 将 任何 东西 等 分 的 经 典 协议 : 


(1) Alice 将 东西 切 成 两 半 。 
(2) Bob 给 目 己 选择 一 半 。 
(3) Alice 拿 走 剩 下 的 一 半 。 


Alice 最 关心 的 是 第 (1) 步 中 的 等 分 ， 因 为 Bob 可 以 在 第 (2) 步 中 
选择 他 想 要 的 那 一 半 。Michael Rabin 是 第 一 个 在 密码 学 中 使 用 分 割 选择 
技术 的 人 (1282) 。 交 互 式 协议 Cinteractive protocol) 和 有 零 知 识 的 概念 
是 后 来 才 正 式 提出 的 【626、627] 





分 割 选择 协议 起 作用 ， 因 为 Peggy 没 有 办 法 重复 猜 出 Victor 要 她 从 哪 
一 边 出 来 。 如 果 Peggy 不 知道 这 个 秘密 ， 那 么 她 只 能 从 进去 的 路 出 来 。 
在 协议 的 每 一 轮 (有 时 叫做 一 次 鉴别 Caccreditation) ) 中 她 有 50% 的 
机 会 猿 中 Victor 会 叫 她 从 哪 一 边 出 来 ， 所 以 她 有 50% 的 机 会 欺骗 他 。 在 
两 轮 中 她 欺骗 Victor 的 机 会 是 25%。 而 所 有 n 次 她 欺骗 Victor 的 机 会 是 
1/2” 。 经 过 16 轮 后 ，Peggy 只 有 1/65536 的 机 会 欺骗 Victor。Victor 可 以 安 


全 地 假定 ， 如 果 所 有 16 次 Peggy 的 证 明 都 是 有 效 的 ， 那 么 她 一 定 知 道 开 
局 C 点 和 D 点 间 的 密 门 咒语 。《〈 调 从 的 比拟 并 不 完善 。Peggy 可 能 简单 地 
从 一 边 走 进去 ， 并 从 另 一 边 出 来 。 这 里 并 不 需要 任何 分 割 选 择 协 议 ， 但 


是 ， 数 学 上 的 零 知 识 需要 它 。) 














假设 peggy 知 道 一 部 分 信息 而 且 这 部 分 信息 是 一 个 难题 的 解法 ， 基 


本 的 零 知 识 协议 由 下 面 儿 轮 组 成 。 





(1) Peggy 用 她 的 信息 和 一 个 随机 数 将 这 个 难题 转变 成 另 一 个 难 
题 ， 新 的 难题 和 原来 的 难题 同 构 。 然 后 她 用 她 的 信息 和 这 个 随机 数 解 这 
个 新 难题 。 


(2) Peggy 利 用 位 承 诡 方案 提交 这 个 新 难题 的 解法 。 


(3) Peggy 同 Victor 透 露 这 个 新 难题 。Victor 不 能 用 这 个 新 难题 得 到 


关于 原 难题 或 其 解法 的 任何 信息 。 


(4) Victor 要 求 Peggy: 





Ca) 问 他 证 明 新 、 旧 难题 是 同 构 的 〈“ 即 两 个 相关 问题 的 两 种 不 同 
解法 ) ， 或 者 


Cb) 公开 她 在 第 (2) 步 中 提交 的 解法 并 证 明 是 新 难题 的 解法 。 


(5) Peggy 同 意 。 


(6) Peggy 和 Victor 重 复 第 (1) ~ (5) nix. 


还 记得 洞穴 协议 中 的 摄像 机 吗 ? 在 此 你 可 以 做 同样 的 事 。Victor 可 
以 做 一 个 他 和 Peggy 之 间 交 换 的 副本 。 他 不 能 用 这 个 副本 让 Carol 信 服 ， 
为 他 总 能 串通 Peggy 制 造 一 个 伪造 Peggy 知 识 的 模拟 器 。 这 个 论点 可 以 
用 来 论证 这 样 的 证 明 是 零 知 识 的 。 

这 类 证 明 的 数学 背景 很 复杂 。 问 题 和 随机 变换 一 定 要 仔细 挑选 ， 使 
得 甚至 在 协议 的 多 次 欠 代 之 后 ，Bob 仍 不 能 得 到 关于 原 问题 解法 的 任何 
言 轧 。 不 是 所 有 难题 都 能 用 作 零 知识 证 明 ， 但 很 多 可 以 。 





5.1.2 KEH 








举 个 例子 来 解释 这 个 概念 可 能 要 费 很 多 笔墨 。 这 个 概念 来 目 图 论 
L619, 622] 。 连 接 不 同 点 的 线 构 成 的 网 络 称 为 图 。 如 果 两 张 图 除 点 的 名 
字 不 同 外 其 他 都 一 样 ， 它 们 叫 同 构 〈isomorphic) 。 对 于 一 个 非常 大 的 
图 ， 找 出 两 个 图 是 否 同 构 需 要 计算 机 工作 数 百 年 的 时 间 ， 这 是 在 11.1 市 
中 讨论 的 NP 完全 问题 之 一 。 





假设 Peggy 知 道 图 G1 AIG, 之 间 同 构 ， 下 面 的 协议 将 使 Victor 相 信 
Peggy 的 知识 : 


(1) Peggy 随 机 置换 G1 产生 为 一 个 图 H， 并 且 H 和 G1 同 构 。 因 为 


Peggy 知 道 G1 和 H 同 构 ， 所 以 她 也 就 知道 H 和 G， 同 构 。 对 其 他 人 来 说 ， 
RIG, 和 H 或 H 和 G, 之 间 同 构 与 发 现 G; FG, 之 间 同 构 一 样 难 。 





(2) Peggy 把 H 送 给 Victor。 

(3) Victor 要 求 Peggy: 

(a) 证 明 G; 和 H 同 构 ， 或 者 

(b) 证 明 G, FHI 

(4) Peggy 同 意 。 她 

(a) 证 明 G; 和 H 同 构 ， 但 不 证 明 G, FHI, Beet 
Cb) 证 明 G, 和 H 同 构 ， 但 不 证 明 G; 和 H 同 构 。 

(5) Peggy 和 Victor 重 复 第 (1) ~ (4) nix. 


如 果 Peggy 不 知道 G; FIG, 之 间 的 同 构 性 ， 她 就 不 能 创造 和 这 两 个 图 
都 同 构 的 图 H。 她 只 能 创造 一 个 图 或 者 与 G1 同 构 或 者 与 C, 同 构 。 同 前 
面 的 那个 例子 一 样 ， 她 只 有 50%% 的 机 会 猜 中 Victor 在 第 (3) 步 中 会 要 求 
她 执行 哪 一 个 证 明 。 





这 个 协议 没有 给 Victor 任 何 有 用 的 信息 以 帮助 他 了 解 G; AIG, 之 间 
的 同 构 性 。 因 为 Peggy 在 协议 的 每 一 轮 部 产 生 一 个 新 图 H， 所 以 不 管 他 


们 经 过 多 少 轮 协议 Victor 也 得 不 到 任何 信息 ， 他 不 能 从 Peggy 的 答案 中 了 


解 G1 FIG, 的 同 构 性 。 
在 每 一 轮 中 ，Victor 都 得 到 也 的 一 个 新 的 随机 置换 ， 以 及 H 和 Gi 或 


Gy 之 间 的 同 构 性 。Victor 也 可 以 自己 来 产生 这 个 协议 。 因 为 他 能 做 一 个 


它 能 被 证 明 是 零 知识 的 。 





此 协议 的 模拟 器 ， 所 以 
5.1.3 ”汉密尔顿 圈 
。Peggy 知 道 


另 一 个 不 同 的 例子 是 由 Manuel Blum 最 先 提出 的 【196j 
一 条 沿 图 线 走 向 的 环形 连续 路 符 ， 每 个 点 仅 通 过 一 次 ， 这 个 环形 连续 路 











径 称 为 汉密尔顿 圈 (Hamiltonian cycle〉。 找 到 一 个 汉密尔顿 圈 是 另 一 
难题 。Peggy 拥 有 这 部 分 信息 (她 可 能 通过 利用 某 个 汉密尔顿 圈 来 构造 


图 而 得 到 该 信息 ) 这 正 是 她 想 要 Victor 相 信 她 知道 的 信息 。 
Peggy 知 道 一 个 图 G 的 汉密尔顿 圈 。Victor 知 道 图 G， 但 是 不 知道 它 
的 汉密尔顿 圈 。 在 不 暴露 汉密尔顿 圈 的 情况 下 ，Peggy 要 向 Victor 证 明 她 








知道 这 个 汉密尔顿 轿 。 下 面 是 她 的 做 法 : 
(1) Peggy 随 机 置换 图 G。 她 移动 这 些 点 并 改变 它们 的 标号 ， 生 产 


一 个 新 图 H。 因 G 和 H 在 拓扑 上 同 构 〈 即 相同 的 图 ) ， 所 以 如 果 她 知道 G 
展 容易 地 找到 HH 的 汉密尔顿 图 。 如 果 她 不 是 自 
题 ， 也 需 花 费 计 算 机 


Ie REL, ABA hth Be 


己 创造 H， 则 确定 两 个 图 之 间 的 同 构 性 将 是 男 一 难题 


数 百 年 的 时 间 。 她 加 密 H 得 到 H' (这 必定 是 一 种 对 HH 的 每 一 条 线 的 概率 
加 密 ， 即 对 了 的 每 一 条 线 加 密 0 或 加 密 1) 。 


(2) Peggy 给 Victor 一 个 H' 的 副本 。 

(3) Victor 要 求 Peggy: 

Ca) 同 他 证 明 H' 是 G 的 同 构 副本 的 加 密 ， 或 者 
Cb) 向 他 出 示 H 的 汉密尔顿 圈 。 


(4) Peggy 同 意 ， 她 





Ca) 通过 揭示 置换 和 解密 证 明 H' 是 G 的 同 构 副 本 的 加 密 ， 但 不 出 示 
G 或 了 的 汉密尔顿 圈 ， 或 者 





Cb) 仅 通 过 解密 构成 汉密尔顿 疾 的 那些 线 出 示 瑞 的 汉密尔顿 立 ， 
但 不 证 明 G 和 H 在 拓扑 上 同 构 。 


(5) Peggy 和 Victor 重 复 第 (1) ~ (4) nix. 


如 果 Peggy 城 实 ， 她 就 能 给 Victor 提 供 第 〈4) 步 中 两 个 证 明 中 的 任 
何 一 个 。 但 是 ， 如 果 她 不 知道 G 的 汉密尔顿 图 ， 她 就 不 能 创造 加 密 的 图 
H'， 这 个 图 H' 能 满足 两 个 要 求 。 她 最 多 能 做 到 的 是 使 其 所 创造 的 图 或 者 
与 G 同 构 ， 或 者 具有 相同 数目 的 点 、 线 和 一 个 有 效 的 汉密尔顿 圈 。 虽 然 
她 有 50%% 的 机 会 猜 中 Victor 在 执行 第 (3) 步 中 将 要 他 完成 哪 一 个 证 明 ， 





但 Victor 可 将 协议 重复 足够 多 次 来 使 他 目 己 确信 Peggy 知 道 G 的 汉密尔顿 
: 





5.1.4 并 行 零 知识 证 明 
基本 的 零 知识 协议 包括 Peggy 和 Victor 之 间 的 n 次 交换 ， 可 以 把 它们 
全 部 并 行 完 成 : 


(1) Peggy 使 用 她 的 信息 和 n 个 随机 数 把 这 个 难题 变 成 n 个 不 同 的 同 
构 难 题 ， 然 后 用 她 的 信息 和 随机 数 解决 这 n 个 新 难题 。 


(2) Peggy 提 交 这 n 个 新 难题 的 解法 。 


(3) Peggy 问 Victor 透 露 这 n 个 新 难题 。Victor 无 法 利用 这 些 新 难题 
得 到 关于 原 问题 或 其 解法 的 任何 信息 。 


(4) 对 这 n 个 新 难题 中 的 每 一 个 ，Victor 要 求 Peggy: 





Ca) 向 他 证 明 新 、 旧 难题 是 同 构 的 ， 或 者 


D 公开 她 在 第 (2) 步 中 提交 的 解法 ， 并 证 明 它 是 这 个 新 难题 的 


(5) Peggy 对 这 n 个 新 难题 中 的 每 一 个 部 表示 同意 。 


很 不 至， 事情 并 非 如 此 简单 。 该 协议 没有 同 前 协议 相同 的 零 知识 性 
质 。 在 第 (4) 步 ，Victor 可 以 把 第 (2) 步 所 提交 的 所 有 值 的 单 向 散 列 
函数 作为 疑问 ， 这 样 就 使 副本 不 可 冒充 。 它 仍然 是 零 知 识 的 ， 但 属于 不 
同 种 类 。 实 际 应 用 中 它 似乎 是 安全 的 ， 但 是 没有 人 知道 怎样 证 明 它 。 我 
们 确实 知道 ， 在 茶 些 环境 下 ， 针 对 茶 些 问题 的 某 些 协议 可 以 并 行 运行 ， 
并 同时 保留 它们 的 零 知 识 性 质 1247. 106, 546. 616] 。 











5.1.5” 非 交互 式 零 知识 证 明 





不 能 使 Carol 相 信 ， 因 为 这 个 协议 是 交互 式 的 ， 并 且 她 没有 介入 交 
互 中 。 为 了 让 Carol 和 其 他 感 兴趣 的 人 相信 ， 需 要 一 个 非 交 互 式 的 协 
议 。 


人 们 已 经 发 明了 非 交互 式 零 知 识 证 明 的 协议 [477、198、 478、197] 。 
这 些 协议 不 需要 任何 交互 ，Peggy 可 以 公布 它们 ， 从 而 向 任何 花 时 间 对 
此 进行 检验 的 人 证 明 协议 是 有 效 的 。 





这 个 基本 协议 类 似 于 并 行 零 知识 证 明 ， 不 过 只 是 用 单 向 散 列 函数 代 
蔡 J Victor: 


(1) Peggy 使 用 她 的 信息 和 n 个 随机 数 把 这 个 难题 变换 成 n 个 不 同 的 
同 构 问题 ， 然 后 用 她 的 信息 和 随机 数 解决 这 n 个 新 难题 。 


(2) Peggy 提 交 这 n 个 新 难题 的 解法 。 


(3) Peggy 把 所 有 这 些 提 交 的 解法 作为 一 个 单 向 散 列 函数 的 输入 
(这 些 行为 终归 不 过 是 一 些 位 串 ) ， 然 后 保存 这 个 单 向 散 列 函数 输出 的 
头 n 位 。 


(4) Peggy 取 出 在 第 (3) 步 中 产生 的 n 位 ， 针 对 第 i 个 新 难题 依次 
取出 这 n 位 中 的 第 i 位， 并 且 : 








(a) 如 果 它 是 0， 则 证 明 新 、 旧 问题 是 同 构 的 ， 或 者 

(b) 如 果 它 是 1， 则 公布 她 在 第 (2) 步 中 提交 的 解法 ， 并 证 明 它 
是 这 个 新 问题 的 解法 。 

(5) Peggy 将 第 (2) 步 中 的 所 有 约定 和 第 (4) 步 中 的 解法 都 公 之 
Rs 

(6) Victor、Carol 或 其 他 感 兴趣 的 人 ， 可 以 验证 第 (1) ~ (5) 
步 是 否 正确 执行 。 


这 很 令 人 惊异 : Peggy 可 以 公布 一 些 不 含有 关 她 秘密 的 信息 ， 却 能 
让 任何 人 相信 这 个 秘密 的 存在 。 如 采 把 这 个 问题 作为 初始 消 妃 和 要 签名 
消息 的 单 问 散 列 ， 则 这 个 协议 也 可 用 于 数字 签名 方案 。 








这 个 协议 起 作用 的 原因 在 于 单 癌 散 列 函数 扮 沉 了 一 个 无 侦 随 机 位 发 


生 器 的 角色 。 如 果 Peggy 要 进行 欺骗 ， 她 必须 能 预测 这 个 单 向 散 列 函数 
的 输出 。( 记 住 ， 如 果 她 不 知道 这 个 难题 的 解法 ， 她 可 以 完成 第 (4) 
步 的 (a) Bk Cb) ， 但 不 能 两 者 都 完成 。) 如果 由 于 什么 原因 她 知道 了 
这 个 单 癌 散 列 函数 会 叫 她 做 什么 ， 那 么 她 可 以 进行 欺 骄 。 然 而 ， 她 没有 
办 法 强迫 这 个 单 癌 散 列 函数 产生 哪些 位 或 猜 中 它 将 产生 哪些 位 。 这 个 单 
问 散 列 函 数 在 协议 中 实际 上 是 Victor 的 代 痊 物 一 一 在 第 〈4) 步 中 随机 地 
选择 两 个 证 明 中 的 一 个 。 





在 非 交 互 式 协议 中 ， 必 定 有 更 多 的 问 / 答 序 列 迭 代 。 不 是 Victor 而 
是 Peggy 在 用 随机 数 挑选 这 些 难 题 ， 她 可 以 挑选 不 同 的 问题 ， 因 此 有 不 
同 的 提交 向 量 ， 直 到 这 个 散 列 函数 产生 她 希望 的 东西 为 止 。 在 交互 式 协 
议 中 ，10 次 迭代 “Peggy 能 进行 欺骗 的 概率 为 /219 (1/1024) ) 就 很 好 
了 。 但 是 ， 这 对 非 交 互 式 零 知识 证 明 是 不 够 的 。 记 住 ， n 
成 第 (4) 步 的 (a) 或 Cb) ， 他 能 设法 猜测 会 他 完成 哪 一 步 ， 处 理 完 
第 〈1) 一 (2 步 ， 并 和 弄 清 他 是 否 猿 对 。 如 果 他 没有 猜 对 ， 可 以 再 试 
一 一 反 反 复 复 。 在 计算 机 上 进行 1024 次 猜测 并 不 是 难事 。 要 防止 这 种 穷 
举 攻击 ， 非 交互 式 协 议 需 要 64 次 近代， 甚至 128 次 迭代 才 有 效 。 




















这 就 是 使 用 单 向 散 列 函数 的 全 部 要 点 : Peggy 不 能 预测 散 列 函数 的 
输出 ， 因 为 她 不 能 预测 其 输入 。 只 有 在 她 解决 了 新 的 难题 以 后 ， 才 能 知 
道 作 为 输入 的 提交 


5.1.6 一 般 性 


Blum 证 明了 任何 数学 定理 都 能 转化 为 图 ， 使 得 这 个 定理 的 证 明 等 
价 于 证 明 图 的 汉密尔顿 圈 。 假 设 有 了 单 向 函数 并 因此 有 了 好 的 加 密 算 
法 ， 则 任何 NP 命题 都 包括 一 个 零 知识 证 明 ， 这 种 一 般 情况 已 在 [620] 
中 得 到 证 明 。 任 何 数 学 证 明 都 能 转化 成 一 个 零 知 识 证 明 。 采 用 这 项 技 
术 ， 研 究 人 员 能 向 世人 证 明 他 们 知道 一 个 特殊 定理 的 解法 但 又 不 会 泄露 
那个 证 明 是 什么 。Bium 可 以 公布 他 的 结果 ， 同 时 又 不 泄露 它们 。 





此 外 ， 还 存在 最 小 泄露 证 明 (minimum-disclosure proof) [991 ， 
ERAU PEM: 


(1)〉Peggy 不 能 欺骗 Victor。 如 果 Peggy 不 知道 证 明 ， 她 使 Victor 相 
信 她 知道 这 个 证 明 的 概率 非常 小 。 


(2) Victor 不 能 欺骗 Peggy。 除 了 Peggy 知 道 证 明 这 个 事实 ， 他 得 不 
到 关于 证 明 的 任何 细微 的 线索 。 尤 其 在 他 自己 没有 完全 地 证 明 它 的 情况 
下 ，Victor 个 可 能 向 其 他 人 论证 这 个 证 明 。 


零 知识 证 明 有 一 个 附加 条 件 : 


(3) 除了 Peggy 知 道 证 明 这 个 事实 外 ，Victor 不 能 从 Peggy 处 得 到 任 
何 东 西 ， 没 有 Peggy 他 自己 不 能 得 到 有 用 的 信息 。 


最 小 泄露 证 明 与 零 知识 证 明之 间 存 在 相当 大 的 数学 区 别 。 这 个 区 别 
超越 了 本 书 的 范围 ， 但 欢迎 愿意 深入 研究 的 读者 参阅 参考 书籍 。 概 念 介 
绍 参见 [626、619、622] 。 关 于 概念 基于 不 同 数 学 假设 的 更 详尽 的 擂 
RÆ [240, 319, 239] EHR. 


以 下 是 不 同类 型 的 零 知 识 证 明 : 





完善 的 (perfect) 。 有 一 个 使 副本 与 正本 具有 相同 分 布 的 模拟 器 
例如， 汉密尔顿 图 和 图 的 同 构 ) 。 


.统计 的 Cstatistical) 。 除 了 一 定数 量 的 例外 ， 有 一 个 使 副本 与 正 
本 具有 相同 分 布 的 模拟 器 。 


:计算 的 Ccomputational) 。 有 一 个 使 副本 与 正本 不 能 区 别 的 模拟 





:无 用 的 Cno-use) 。 可 能 不 存在 模拟 器 ， 但 是 可 以 证 明 Victor 不 能 
从 证 明 中 得 到 任何 更 多 的 信息 〈 例 如， 并 行 证 明 ) 。 


这 些 年 以 来 ， 关 于 最 少 泄露 和 零 知 识 证 明 ， 无 论 理 论 上 还 是 应 用 
上 ， 人 们 已 做 了 广泛 的 工作 。Mike Burmester 和 Yvo Desmedt 发 明了 广播 
交互 式 证 明 (broadcast interactive proof) ， 其 中 的 一 个 证 明 者 能 将 零 知 
识 交 互 式 证 明 广播 给 一 大 群 验证 者 [230」 。 密 码 学 家 证 明 ， 能 用 交互 式 
证 明 来 证 明 的 每 一 件 事 ， 也 能 用 零 知识 交互 式 证明 来 证 明 £799. 187) 


L548」 是 关于 这 个 主题 的 一 篇 好 的 综述 文章 。 更 多 的 数学 上 的 细 
节 、 变 化 、 协 议和 应 用 ， 请 参见 L590. 619, 240, 319. 620, 113, 
241、1528、660、238、591、617、510、592、214、104、216、832、 
97、939、622、482、615、618、215、476、71] ， 关 于 这 个 主题 的 文 


章 比比 皆 是 。 


5.2 ”身份 的 零 知 识 证 明 


在 现实 世界 中 ， 我 们 用 物理 信物 作为 身份 证 明 : 护照 、 各 驶 执照 、 
信用 卡 等 。 这 些 信物 包含 了 把 它 与 一 个 人 联系 起 来 的 东西 : JA ERR 
或 釜 名 ， 但 可 能 最 方便 的 是 指纹 、 视 网 膜 扫描 图 或 牙齿 的 X 光 片 。 用 数 
字 方 式 来 做 这 件 事 难 道 不 好 吗 ? 








使 用 零 知 识 证 明 作 为 身份 证 明 最 先是 由 Uriel Feige. Amos Fiat 和 
Adi Shamir 提 出 的 【566、567」。Alice 的 私人 密 钥 成 为 她 “身份 ”的 函数 。 
通过 使 用 零 知识 证 明 ， 她 能 够 证 明 她 知道 自己 的 私人 密 钥 ， 并 由 此 证 明 
自己 的 喘 份 。 这 类 算法 在 23.11 节 介绍 。 


这 个 想法 相当 有 用 ， 它 使 一 个 人 不 用 任何 实际 信物 便 能 证 明 吴 份 。 
但 是 ， 它 也 不 是 完美 无 缺 的 ， 还 存在 一 些 浆 端 。 


5.2.1 国际 象棋 特级 大 师 问题 


Alice 是 一 个 甚至 连 国 际 象 棋 的 规则 也 不 知道 的 人 ， 这 里 要 介绍 她 怎 
样 击败 国际 象棋 特级 大 师 。 她 在 一 场 比赛 中 挑战 卡 斯 帕 罗 夫 和 卡尔 波 
夫 ， 比 赛 同一 时 间 和 地 点 ， 但 在 不 同 的 房间 进行 。 她 执 白 棋 对 卡 斯 由 罗 
夫 而 执 黑 棋 对 卡尔 波 夫 ， 两 位 特级 大 师 都 不 知道 对 方 。 











卡尔 波 夫 执 白 先行 ， 走 了 第 一 步 ，Alice 记 住 这 一 步 ， 并 走 进 卡 斯 由 
多 夫 的 房间 。 她 执 白 对 卡 斯 由 多 夫 走 了 同样 一 步 。 卡 斯 由 多 夫 走 了 一 步 
黑 棋 。Alice 记 下 这 一 步 ， 走 进 卡 尔 波 夫 的 房间 ， 走 了 同样 一 步 。 这 样 持 
续 下 去 直到 她 遍 了 一 盘 比赛 并 得 挥 了 另 一 盘 ， 或 两 租 比 赛 都 以 平局 告 
终 。 

















实际 上 ， 卡 斯 由 多 夫 是 在 同 卡 尔 波 夫 对 局 ， 而 Alice 只 是 简单 地 扮 作 
了 中 间 人 ， 和 模仿 每 一 个 特级 大 师 在 另 一 个 棋盘 上 行 棋 。 然 而 ， 如 果 卡 尔 
波 夫 和 卡 斯 由 罗 夫 都 不 知道 对 方 在 场 ， 他 们 都 会 对 Alice 的 棋艺 留 下 相当 
深刻 的 印象 。 


这 种 欺骗 可 以 用 于 攻击 身份 的 零 知 识 证 明 -485、 120」 。 在 Alice 向 
Mallory 证 明 她 的 身份 时 ，Mallory 同 时 能 向 Bob 证 明 他 是 Alice。 





5.2.2 ”黑手 党 骗局 


当 讨 论 Adi Shamir 的 零 知识 识别 协议 时 “12 和 ， 他 说 : “我 可 以 去 
一 个 黑手 党 的 丙 店 连续 100 万 次 ， 而 他 们 仍然 不 能 冒充 我 。” 


下 面 是 黑手 党 如 何 能 够 做 到 的 过 程 。Alice 正 在 Bob 的 餐馆 一 一 一 家 
黑手 党 拥有 的 餐馆 吃饭 ，Carol 正 在 Dave 的 商场 一 一 一 家 高 档 珠 宝 店 买 
东西 ，Bob 和 Carol 都 是 黑手 党 成 员 ， 并 且 他 们 正 通过 一 条 秘密 的 无 线 电 
线路 通信 。Alice 和 Dave 都 不 知道 这 个 骗局 。 


当 Alice 吃 完 饭 ， 准 备 付 账 并 对 Bob 证 明 她 的 身份 时 ，Bob 给 Carol 发 
信号 通知 她 准备 开始 这 场 骗局 。Carol 买 了 一 些 贵重 的 钻石 ， 并 准备 对 
Dave 证 明 她 的 身份 。 现 在 ， 当 Alice 对 Bob 证 明 她 的 身份 时 ，Bob 用 无 线 
电 告 知 Carol，Carol 则 向 Dave 执 行 相同 协议 。 当 Dave 问 协议 中 的 一 个 问 
题 时 ，Carol 用 无 线 电 把 问题 回 送 给 Bob， 然 后 Bob 再 问 Alice 这 个 问题 。 
当 Alice 回 答 后 ，Bob 又 用 无 线 电 链 将 正确 答案 告诉 Carol。 实 际 上 ， 
Alice 只 是 在 对 Dave 证 明 她 的 身份 ， 而 Bob 和 Carol 只 是 简单 地 在 协议 中 间 
来 回 传递 消息 。 当 协议 完成 时 ，Alice 已 对 Dave 证 明了 她 的 身份 ， 并 买 
了 一 些 贵重 的 钻石 (Carol 随 之 消失 ) 。 


5.2.3 ReaD oa Jeg 


如 果 Alice 愿 意 与 Carol 合 作 ， 她 们 也 能 期 驴 Dave。 在 这 个 协议 中 ， 
Carol 是 一 个 具名 昭 凌 的 恐怖 分 子 。Alice 帮 助 Carol 进 入 这 个 国家 。Dave 
是 移民 局 的 官员 。Alice 和 Carol 通 过 一 条 秘密 的 无 线 电 链 路 联系 。 


当 Dave 询 问 Carol 零 知识 协议 中 的 一 部 分 问题 时 ，Carol 用 无 线 电 将 
它们 友 给 Alice，Alice 自 己 回答 这 些 问 题 。Carol 同 Dave 复 述 答案 。 实 际 
上 ， 是 Alice 在 癌 Dave 证 明 她 的 号 份 ，Carol 只 是 作为 一 条 通信 路 径 。 当 
协议 完成 时 ，Dave 认 为 Carol 是 Alice 并 让 她 进入 这 个 国家 。 三 天 后 ， 
Carol 同 一 辆 装 满 炸药 的 微型 车 在 茶 政 府 大 楼 出 现 。 








5.2.4 建议 的 解决 方法 


黑手 秽 和 您 怖 分 子 的 驴 局 有 可 能 成 功 ， 因 为 同谋 者 可 以 通过 一 条 秘 
蜜 的 无 线 电 线路 通信 。 阻 止 这 一 切 发 生 的 一 个 办 法 是 要 求 所 有 的 识别 在 
WEL (Faraday cage) 内 发 生 ， 这 样 可 以 防止 所 有 的 电磁 辐射 。 在 
恐怖 分 子 的 例子 中 ， 这 将 使 移民 局 官员 Dave 确 信 Carol 没 有 从 Alice 那 里 
接收 到 她 的 答案 。 在 黑手 党 的 例子 中 ，Bob 可 以 简单 地 在 他 的 餐馆 内 建 
一 个 有 缺陷 的 法 拉 第 淖 ， 但 珠宝 商 Dave 得 有 一 个 正常 工作 的 法 拉 第 尝 ， 
Bob 和 Carol 仍 不 能 通信 。 为 了 解决 国际 象棋 特级 大 师 问 题 ， 应 强迫 Alice 
坐 在 她 的 位 置 上 ， 直 到 对 奔 结 





Thomas Beth 和 Yvo Desmedt 提 出 了 另 一 种 解决 办 法 ， 这 种 办 法 使 用 
了 很 精确 的 时 钟 “148」 。 如 果 协 议 中 的 每 一 步 都 必须 在 一 个 给 定 的 时 间 
发 生 ， 同 谋 者 就 没有 时 间 通 信 。 在 国际 象棋 特级 大 师 问 题 中 ， 如 果 每 一 
局 的 每 步 棋 都 必须 在 时 钟 敲 响 一 分 钟 时 走 ， 那 么 Alice 就 没 时 间 从 一 个 房 
间 跑 到 另 一 个 房间 。 在 黑手 党 故事 中 ，Bob 和 Carol 也 没 时 间 互 相传 递 问 


题 和 答案 





5.2.5 多 重 身 份 骗局 


在 L485、120」 中 还 讨论 了 其 他 一 些 零 知识 号 份 证 明 的 滥用 问题 。 
在 一 些 实现 中 ， 当 个 人 注册 一 个 公开 密 钥 时 不 做 检验 。 因 此 ，Alice 可 有 





多 个 私人 密 钥 ， 因 而 有 多 个 身份 。 如 果 她 想 搞 税 款 骗局 ， 这 可 能 大 用 
助 。Alice 也 可 以 犯 了 罪 然 后 消失 。 首 先 ， 她 创造 并 公布 多 个 映 份 ， 其 中 
一 个 她 没有 使 用 ， 接 着 她 使 用 那个 映 份 一 次 并 进行 犯罪 ， 故 对 她 进行 喘 
份 验 证 的 人 就 是 证 人 。 然 后 ， 她 立即 停止 使 用 那个 身份 ， 证 人 知道 犯罪 
人 的 喘 份 ， 但 如 果 Alice 不 再 使 用 那个 里 份 ， 她 也 就 难以 被 友 现 。 


为 了 防止 这 种 欺骗 ， 必 须 有 某 种 机 制 来 保证 每 个 人 只 有 一 个 里 份 。 
在 文献 [120] 中 ， 作 者 提出 了 防止 掉包 婴儿 的 “古怪 ”想法 ， 这 些 婴 儿 
都 不 能 克隆 ， 并 都 包含 一 个 独一无二 的 编号 作为 他 们 遗传 密码 的 一 部 
分 。 他 们 还 建议 让 每 个 婴儿 在 出 生 时 都 得 到 一 个 号 份 。《〈 实 际 上 ， 由 于 
婴儿 会 被 别人 占有 ， 所 以 父母 必须 在 孩子 出 生 时 就 做 这 项 工作 。)〉 这 可 
能 很 容易 被 滥用 ， 父 母 可 能 在 孩子 出 生 时 为 他 提供 多 重 身 份 。 归 根 结 
底 ， 个 体 的 唯一 性 仍 基 于 信任 。 





5.2.6 ”出 租 护照 


Alice 想 去 扎 伊 尔 旅游 ， 但 该 政府 不 给 她 签证 。Carol 提 出 把 她 的 号 
份 租 给 Alice。 (Bob 首 先 提议 ， 但 有 一 些 明 显 的 问题 。〉 Carol 把 她 的 私 
人 密 钥 卖 给 Alice，Alice 伪 装 成 Carol 去 扎 伊 尔 。 


Carol 不 但 因为 她 的 身份 得 到 报酬 ， 而 且 她 还 有 一 个 完美 的 不 在 现 
场 证 明 。 当 Aljlice 在 扎 伊 尔 期 间 ，Carol 犯 了 罪 。 Carol 已 经 在 扎 伊 尔 证 


明了 她 的 号 份 。 她 怎么 能 回 家 作案 呢 ? 


当然 ，Alice 也 可 以 随意 作案 。 她 或 者 在 离开 前 或 者 在 返回 后 在 
Carol 家 附近 作案 。 首 先 ， 她 证 明 自 己 是 Carol (她 有 Carol 的 私人 密 铀 ， 
故 她 能 轻易 做 到 ) ， 然 后 作案 潜逃 ， 警 察 将 会 来 找 Carol，Carol 宣 称 她 
把 身份 租 给 了 Alice， 但 谁 会 相信 这 个 殉 请 的 故事 呢 ? 


问题 在 于 Alice 并 没有 真正 证 明 她 的 号 份 ， 她 只 是 证 明 她 知道 的 一 部 
分 秘密 信息 。 正 是 那个 属于 信息 和 人 之 间 的 联系 被 滥用 了 。 防 止 挥 包罗 
儿 的 解决 办 法 可 防止 这 类 驴 局 ， 如 同 在 一 个 殴 察 国家， 那里 所 有 的 市 民 
必须 经 常 证 明 他 们 的 吴 份 《每 天 晚上 、 每 个 街道 扔 角 处 等 ) 。 


5.2.7 成 员 资 格 证 明 





Alice 想 向 Bob 证 明 她 是 某 超 级 秘密 组 织 的 成 员 ， 但 又 不 想 暴露 自己 
的 吴 份 。 这 个 问题 类 似 于 但 又 不 同 于 身份 证 明 问题 ， 在 文献 【887、 
906. 907. 1201. 1445] 中 也 有 研究 。 有 些 解 决 方法 和 团体 签名 问题 有 
联系 〈 见 4.6 节 ) 。 





数字 签名 协议 的 一 个 基本 特征 是 文件 的 签署 者 知道 他 们 在 签 著 什 
么 。 这 是 个 好 的 构想 ， 除 非 当 我 们 不 想 让 他 们 知道 时 。 


有 时 候 我 们 想 要 别人 签 绪 一 个 他 们 从 未 看 过 其 内 容 的 文件 。 也 有 办 
法 让 签名 者 能 大 体 知道 他 们 要 签署 的 是 什么 文件 ， 只 不 过 不 准确 而 已 。 


5.3.1 完全 育 签 名 





Bob 是 一 个 公证 员 ，Alice 要 他 签 闭 一 个 文件 ， 但 又 不 想 让 他 知道 文 
件 内 容 。Bob 不 关心 文件 中 说 些 什 么 ， 他 只 是 证 明 他 在 茶 一 时 刻 公证 过 
这 个 文件 。 他 愿意 这 样 进行 : 





(1) Alice 取 出 文件 并 将 它 乘 以 一 个 随机 值 ， 这 个 随机 值 称 为 囊 因 
村 (blinding factor) 。 


(2) Alice 将 这 份 隐蔽 好 的 文件 送 给 Bob。 


(3) Bob 在 这 个 隐蔽 好 的 文件 上 签名 。 


(4) Alice 将 其 除 以 隐蔽 因子 ， 留 下 Bob 签 过 的 原始 文件 。 


只 有 当 签 名 函数 和 乘法 函数 可 交换 时 ， 这 个 协议 才能 有 效 。 如 果 不 


是 ， 可 用 其 他 方法 来 代 蔡 乘法 以 修改 文件 ，23.12 市 中 插 述 了 相关 的 算 
法 。 现 在 ， 假 设 运算 是 乘法 ， 并 且 所 有 数学 上 的 要 求 都 满足 。 





Bob 能 进行 欺骗 吗 ? 他 能 收集 到 他 所 签 普 文 件 的 任何 信息 吗 ? 如果 
言 因子 是 真正 随机 的 并 使 隐蔽 文件 真正 随机 ， 那 么 他 不 能 。 在 第 〈2) 
步 中 ，Bob 签 普 的 隐蔽 好 的 文件 一 点 也 不 像 Alice 开 始 使 用 的 文件 。 在 第 
(3) 步 中 ， 珊 有 Bob 签 名 的 隐蔽 好 的 文件 也 一 点 不 像 第 〈4) 步 末 的 已 
签名 的 原始 文件 。 即 使 Bob 可 染指 这 个 文件 ， 并 且 文 件 上 带 有 他 的 签 
名 ， 在 完成 这 个 协议 之 后 ， 他 也 不 能 证 明 (向 他 自己 或 任何 其 他 人 〉 他 
在 那个 特殊 的 协议 中 签署 了 这 个 文件 。 他 知道 他 的 签名 是 有 效 的 。 他 也 
可 以 像 其 他 人 一 样 验证 他 的 签名 。 但 是 ， 他 没有 办 法 把 已 签名 的 文件 和 
他 在 协议 中 收 到 的 任何 信息 相关 联 。 如 果 他 用 这 个 协议 签 了 100 万 份 文 
件 ， 他 照样 没有 办 法 知道 在 哪 种 情况 下 他 签 普 了 哪 一 份 文件 。 











完全 下 签名 的 性 质 是 : 





-Bob 在 文件 上 的 签名 是 有 效 的 。 签 名 就 是 Bob 签 署 这 份 文件 的 证 
据 。 如 采 把 文件 给 Bob 看 ，Bob 人 确信 他 签署 过 这 份 文 件 。 它 也 具有 在 2.6 
节 中 讨论 过 的 数字 签名 具有 的 所 有 其 他 性 质 。 


“Bob 不 能 把 俭 著 文件 的 行为 与 签 缆 的 文件 相关 联 。 即 使 他 记 下 了 他 
所 做 的 每 一 个 讶 签名， 他 也 不 能 确定 他 在 什么 时 候 签署 了 该 文件 。 


Eve 在 中 间 观 看 了 这 个 协议 ， 他 得 到 的 信息 其 全 比 Bob 还 少 。 


5.3.2 BZN 


用 完全 盲 签名 协议 ，Alice 能 让 Bob 签 署 任 何 东 西 : “Bob 欠 Alice100 
万 美元 ，”“Bob 欠 Alice 的 头 生 子 ，”“Bob 欠 Alice 一 袋 软 糖 ，” 可 能 的 事 远 
远 不 止 于 此 。 这 个 协议 在 许多 场合 都 无 用 。 


然而 ， 有 一 个 办 法 可 以 让 Bob 知 道 他 在 签 什么 ， 同 时 仍 保持 盲 签名 
的 有 用 性 质 。 这 个 协议 的 核心 是 分 割 选择 技术 。 考 虑 一 个 例子 ， 每 天 很 
多 人 进入 这 个 国家 ， 而 移民 局 要 确信 他 们 没有 走私 可 卡 因 。 官 员 可 以 搜 
查 每 一 个 人 ， 但 他 们 换 用 了 一 种 概率 解决 办 法 。 他 们 检查 入 境 人 中 的 
L/10。10 个 人 中 有 1 个 人 的 行李 被 检查 ， 其 余 的 9 个 畅通 无 阻 。 长 期 的 走 
私 犯 会 在 大 多 数 时 间 里 遂 遥 法 外 ， 但 他 们 有 10%% 的 机 会 被 抓 住 。 并 且 如 
果 法 院 制 度 有 效 ， 则 抓 住 一 次 的 处 昼 将 远 远 超出 其 他 9 次 所 得 到 的 。 





如 果 移 民 局 想 增 大 抓 住 走私 犯 的 可 能 性 ， 将 不 得 不 搜查 更 多 的 人 ; 
如 果 他 们 要 减少 这 种 可 能 性 ， 只 需 搜查 更 少量 的 人 。 通 过 操纵 概率 ， 他 
们 可 以 控制 抓 住 走私 犯 协议 的 成 功率 。 





言 签 名 协议 以 类 似 的 方式 发 挥 作用 。Bob 将 得 到 一 大 堆 不 同 的 隐蔽 
好 的 文件 ， 他 打开 Copen) 即 检查 除 一 个 文件 以 外 的 所 有 文件 ， 然 后 对 
最 后 一 个 文件 签名 。 


把 隐蔽 文件 想象 为 装 在 信封 里 ， 隐 蔽 文件 的 过 程 就 是 把 文件 装 进 信 


封 ， 去 除 隐蔽 因子 就 是 打开 信封 。 当 文件 在 信封 里 时 ， 没 人 能 读 它 。 文 
件 通过 在 信封 里 放 一 张 复写 纸 来 签 普 : 当 签 名 人 签 甘 信封 时 ， 他 的 签名 
通过 复写 纸 也 签 在 了 文件 上 。 














这 个 剧情 涉及 一 组 反 间 谍 入 员 。 他 们 的 喘 份 是 秘密 的 ， 甚 至 反 间 诬 
机 构 也 不 知道 他 们 是 谁 。 这 个 机 构 的 头子 想 给 每 个 特工 一 份 签名 的 文 
件 ， 文 件 上 写 有 : “这 个 签名 文件 的 持 有 人 《这 里 插入 特工 的 化 名 ) $ 
有 完全 的 外 交 圳 免 权 。” 所 有 的 特工 有 他 们 自己 的 化 名 名 单 ， 故 这 个 机 
构 不 能 仅仅 是 分 发 签名 文件 。 特 工 不 想 把 他 们 的 化 名 送 给 所 属 机 构 、 政 
方 或 者 已 经 破坏 了 这 个 机 构 的 计算 机 。 另 一 方面 ， 机 构 也 不 想 盲 目地 签 
特工 送 来 的 文件 。 隐 明 的 特工 可 能 会 代 之 一 条 消 电 ， 如 “特工 《名字 ) 
己 经 退休 并 获得 每 年 100 万 美元 的 养老 金 。 签 名 : 总 统 先生 ”。 在 这 种 情 
况 下 ， 言 签名 可 能 是 有 用 的 。 














假设 所 有 特工 都 有 10 个 可 能 的 化 名 ， 这 些 化 名 都 是 他 们 自己 选 的 ， 
别人 不 知道 。 同 时 假设 特工 并 不 关心 他 们 将 在 哪个 化 名 下 得 到 外 交 舱 免 
权 。 再 假设 这 个 机 构 的 计算 机 是 情报 局 大 型 情报 计算 机 ALICE， 我 们 的 
特定 代理 部 门 是 波哥大 行动 局 (BOB) 。 








(1) BOB 准 备 了 n 份 文件 ， 每 一 个 使 用 不 同 的 化 名 ， 并 给 予 那个 特 
TIBET FAX » 


(2) BOB 用 不 同 的 盲 因 子 隐蔽 每 个 文件 。 


(3) BOB 把 这 n 份 隐蔽 好 的 文件 发 送 给 ALICE。 


(4) ALICE 随 机 选择 n-1 份 文件 并 同 BOB 索 要 每 份 文件 的 盲 因子 。 


(5) BOB 向 ALICE 发 送 适 当 的 盲 因子 。 


(6) ALICE 打 开 〈 即 去 掉 盲 因子 〉n-1 份 文件 ， 并 确信 它们 是 正确 


的 一 一 不 是 退休 授权 。 





(7) ALICE 在 第 10 个 文件 上 签名 并 把 它 送 给 BOB。 


(8) BOB 去 掉 育 因子 并 读 出 他 的 新 化 名 : “The Crimson Streek”. 
签署 的 文件 在 那个 名 字 下 给 予 他 外 交 秀 免 权 。 


这 个 协议 能 防止 BOB 欺 骗 。 他 要 欺骗 ， 则 必须 准确 地 预测 ALICE 不 
会 检查 哪 一 份 文件 。 他 这 样 做 的 机 会 是 Wn， 不 是 很 好 。ALICE 也 知道 
这 一 点 并 且 有 把 握 签 一 份 她 不 可 能 检查 的 文件 。 用 这 份 文件 ， 这 个 协议 
就 和 先前 的 盲 签名 协议 一 样 ， 并 保持 了 它 所 有 的 匿名 性 质 。 


有 一 种 方法 可 以 使 BOB 的 欺骗 机 会 更 小 ， 在 第 (4) 步 中 ，ALICE 
随机 选择 n / 2 份 文件 提出 质疑 ， 并 在 第 (5) 步 中 发 送 给 她 合适 的 盲 因 
子 。 在 第 (7) 步 中 ，ALICE 将 所 有 非 质 疑 文 件 相 乘 并 签署 这 分 大 文 
件 。 在 第 (8) 步 中 ，BOB 去 掉 所 有 的 盲 因 了 于 ，ALICE 的 签名 只 有 在 它 
是 n / 2 相同 文件 乘积 的 有 效 签名 时 才 可 以 接受 。 要 欺骗 ，BOB 就 得 能 够 
准确 地 猜测 ALICE 将 质疑 哪 一 个 子 集 ， 其 机 会 比 猜测 ALICE 不 会 质疑 哪 





一 份 文件 的 机 会 小 得 多 。 





BOB 有 男 一 种 方法 进行 欺骗 。 他 可 产生 两 份 不 同 的 文件 ， 一 份 
ALICE 愿 意 签署 ， 一 份 ALICE 不 愿 签署 。 然 后 他 可 以 找 两 个 不 同 的 盲 因 
子 ， 把 每 份 文件 变 成 相同 的 隐蔽 文件 。 这 样 ， 如 果 ALICE 要 检查 文件 ， 
BOB 就 给 她 把 文件 变 成 展 性 文件 的 讶 因子， 如 果 ALICE 不 要 求 看 文件 ， 
并 签 普 文件 ， 则 他 可 以 使 用 把 文件 变 为 恶意 文件 的 盲 因 了 于 。 虽 然 这 在 理 
论 上 是 可 行 的 ， 但 涉及 特定 算法 ，BOB 能 找到 这 样 一 对 言 因子 的 机 会 微 








乎 其 微 。 实 际 上 ， 可 以 使 它 与 BOB 目 己 在 一 份 任意 消 电 上 签名 的 机 会 一 
样 小 。 这 个 问题 在 23.12 节 中 进一步 讨论 。 





5.3.3 ”专利 


Chaum 已 取得 了 多 种 盲 签 名 的 专利 〈 见 表 5-1) 。 





表 5-1 Chaum 的 盲 签名 专利 





美国 专利 号 时 间 专利 名 称 
4 759 063 7/19/88 盲 签名 系统 -3231 
1759 064 7/19/88 


非 参 与 讶 签名 系统 5324] 
4914 698 3/3/90 -次 显示 盲 签 名 系统 [326] 
1949 380 8/14/90 RAMA EY ABO) 


1.991 210 2/5/91 不 可 预测 讶 签名 系统 [331] 


5.4 基于 吴 份 的 公开 密 钥 密码 系统 


Alice 想 用 送 一 秘密 消息 给 Bob。 她 不 想 从 密 钥 服务 器 中 获得 他 的 公 
开 密 钥 ， 也 不 想 在 他 的 公开 密 钥 证 书 上 验证 茶 个 第 三 方 的 签名 ， 她 甚至 
不 愿意 在 她 自己 的 计算 机 上 存储 Bob 的 公开 密 钥 。 她 只 想 给 Bob 发 送 一 


tA EE IS o 





基于 身份 的 密码 系统 Cidentity-based cryptosystem) ， 有 时 也 叫做 
非 交 互 式 密 钥 共享 (Non Interactive Key Sharing, NIKS) 系统 ， 可 以 解 
决 发 送 秘密 消息 问题 [14224 。Bob 的 公开 密 钥 是 基于 他 的 名 字 和 网 络 地 
址 的 《或 者 电话 号 码 ， 或 者 实际 街区 地 址 ， 或 者 其 他 什么 东西 ) 。 对 于 
一 般 的 公开 密 钥 密码 系统 ，Alice 需 要 一 个 使 Bob 的 身份 与 他 的 公开 密 铀 
相关 的 签名 证 书 。 对 于 基于 身份 的 密码 系统 ，Bob 的 公开 密 钥 就 是 他 的 
身份 。 这 是 一 个 真正 绝妙 的 主意 ， 就 像 邮 政 系统 一 样 方便 : 如 果 Alice 知 
道 Bob 的 地 址 ， 她 就 可 以 给 Bob 发 送 保密 邮件 。 它 使 密码 变 得 尽 可 能 透 
明 。 


这 个 系统 是 建立 在 Trent 依据 其 身份 给 用 户 发 布 私 人 密 钥 的 基础 上 。 
如 果 Alice 的 私人 密 钥 泄露 ， 她 就 必须 在 茶 些 方面 改变 身份 ， 以 求 得 到 另 
一 个 私人 密 钥 。 一 个 更 严重 的 问题 是 系统 的 设计 方法 应 使 不 诚实 用 户 串 
通 也 无 法 伪造 密 钥 。 





对 于 这 类 方案 的 数学 问题 已 做 了 大 量 研究 工作 〈 大 部 分 在 日 本 ) ， 
使 得 保密 变 得 异常 复杂 。 许 多 建议 的 解决 方案 中 涉及 Trent 为 每 个 用 户 选 
择 一 个 随机 数 一 一 我 认为 这 点 可 以 解决 系统 的 真正 要 害 。 在 第 19 章 和 第 
20 章 讨论 的 一 些 算法 可 以 是 基于 身份 的 。 有 关 细 节 、 算 法 和 密码 分 析 ， 
见 文 献 L191、1422、891、1022、1515、1202、1196、908、692、 





674、1131、1023、1516、1536、1544、63、1210、314、313、1545、 
1539、1543、933、1517、748、1228] 。 一 种 不 依赖 任何 随机 数 的 算法 
W, [1035] 。 在 [1546, 1547, 1507] 中 讨论 的 系统 对 选择 公开 密 钥 攻 
击 是 不 安全 的 。 建 议 的 系统 ， 如 NIKS-TAS [1542, 1540, 1541. 993. 375, 
1538) 也 是 如 此 。 老 实说 ， 迄 今 为 止 所 有 系统 没有 一 个 是 既 实用 又 安全 
的 。 


55 ”不经意 传输 


密码 员 Bob 正 在 拼命 地 想 将 一 个 500 位 的 数 n 进 行 因子 分 解 。 他 知道 
它 是 5 个 100 位 的 数 的 乘积 ， 但 不 知道 其 他 更 多 的 东西 。( 这 是 一 个 问 
题 。 如 果 他 不 能 恢复 这 个 密 钥 ， 他 就 得 加 班 工作 ， 势 必 错 过 他 和 Alice 每 
周一 次 的 智力 扑克 游戏 。) 


你 知道 什么 ? 现在 Alice 来 了 : 


“我 碰巧 知道 那个 数 的 一 个 因子 ，”Alice 说 : “并 且 我 要 100 美 元 才 把 
它 卖 给 你 。 那 是 1 位 1 美元 。” 为 了 表明 她 的 诚意 ， 她 使 用 一 个 位 承诺 方 
案 并 分 别 承诺 每 1 位 。 


Bob 很 感 兴趣 ， 但 他 只 有 50 美 元 。Alice 又 不 愿 降价 ， 只 愿意 以 一 半 
的 价格 卖 给 Bob 一 半 的 位 。“ 这 将 会 节省 你 相当 多 的 工作 ，* 她 说 。 


“但 是 我 怎么 知道 你 的 数 确实 是 n 的 一 个 因子 呢 ?” 如 果 你 给 我 看 那个 
数 并 让 我 验证 它 是 一 个 因子 ， 那 么 我 将 同意 你 的 条 件 ，”Bob 说 。 


他 们 陷入 了 僵局 。Alice 不 能 在 不 透露 n 的 情况 下 让 Bob 相 信 她 的 数 
古 n 的 一 个 因子 ， 而 Bob 也 不 愿 买 一 个 可 能 早 无 用 处 数 的 50 位 。 


这 个 借 自 Joe kilian [831] 的 故事 ， 介 绍 了 不 经 意 传输 (oblivious 


transfer) 的 概念 。Alice 传 送 一 组 消息 给 Bob，Bob 收 到 了 那些 消 妃 的 对 
个 子 集 ， 但 Alice 不 知道 他 收 到 了 哪些 消 妃 。 然 而 这 并 没有 彻 诬 解决 上 面 
的 问题 。 在 Bob 收 到 那些 位 的 任意 一 半 后 ，Alice 还 得 用 一 个 零 知 识 证 明 
来 使 他 相信 她 发 送 的 那些 位 是 n 的 因子 的 一 部 分 。 


在 下 面 的 协议 中 ，Alice 将 发 送 给 Bob 两 个 消息 中 的 一 个 。Bob 将 收 
到 其 中 的 一 份 消 四 ， 并 且 Alice 不 知道 是 哪 一 个 。 








(1) Alice 产 生 两 个 公开 密 钥 /私人 密 钥 对 ， 或 者 总 共 4 个 密 钥 。 她 
把 两 个 公开 密 钥 发 送 给 Bob。 


(2) Bob 选 择 一 个 对 称 算法 〈 例 如 DES) 密 钥 。 他 选择 Alice 的 一 
个 公开 和 密 钥 并 用 它 加 密 他 的 DES 密 钥 。 他 把 这 个 加 密 的 密 钥 发 送 给 
Alice， 但 不 告诉 她 他 使 用 的 是 她 的 哪 一 个 公开 密 钥 。 


(3) Alice 每 次 使 用 一 个 她 的 私人 和 密 钥 来 解密 Bob 的 密 钥 。 在 一 种 
情况 下 ， 她 使 用 了 正确 的 密 钥 并 成 功 地 解密 Bob 的 DES 密 钥 。 在 男 一 种 
情况 下 ， 她 使 用 了 错误 的 密 钥 ， 只 是 产生 了 一 堆 坚 无 意义 而 看 上 去 又 像 
一 个 随机 DES 密 钥 的 位 。 由 于 她 不 知道 正确 明文 ， 所 以 她 不 知道 哪个 是 
正确 的 。 








(4) Alice 加 密 她 的 两 个 消息 ， 分 别 使 用 在 上 一 步 中 产生 的 两 个 
DES 密 钥 ( 一 个 真 的 和 一 个 时 无 意义 的 ) ， 并 把 两 个 消息 都 发 送 给 
Bob 。 


(5) Bob 收 到 一 个 用 正确 DES 密 钥 加 密 的 消息 和 一 个 用 无 意义 DES 
密 钥 加 密 的 消息 。 当 Bob 用 他 的 DES 密 钥 解 密 每 一 份 消 息 时 ， 他 能 读 其 
中 之 一 ， 男 一 份 在 他 看 起 来 毫 无 意义 。 





Bob 现 在 有 了 Alice 两 份 消息 中 的 一 个 ， 而 Alice 不 知道 他 能 读 懂 哪 一 
个 。 很 遗憾 ， 如 果 协 议 到 此 为 止 ，Alice 就 有 可 能 进行 欺骗 ， 故 另 一 个 步 
又 必 不 可 少 : 


(6) 在 协议 完成 ， 并 且 知 道 了 两 种 可 能 传输 的 结果 后 ，Alice 必 须 
FEB AA, AGE EAS Bob, LATE ft RERE A EAT a Hee, ay LA 
用 第 (4) 步 中 的 两 个 密 钥 加 密 同一 个 消息 。 





当然 ， 这 时 Bob 可 以 弄 清 楚 第 二 个 消息 。 


因为 Alice 无 法 知道 两 个 DES 密 钥 中 的 哪 一 个 是 真 的 ， 所 以 这 个 协议 
能 防止 Alice 的 攻击 。 她 加 密 两 份 消 息 ， 但 Bob 只 能 恢复 出 其 中 之 一 一 一 
一 直到 第 〈6) 步 。 它 同样 能 防止 Bob 的 攻击 ， 因 为 在 第 (6) 步 之 前 ， 
他 没有 办 法 得 到 Alice 的 私人 密 钥 来 确定 加 密 男 一 个 消息 的 DES 密 钥 。 这 
可 能 看 起 来 仍然 不 过 像 一 个 较 复 杂 的 通过 调制 解 调 需 抛掷 硬币 的 方法 ， 
但 当 把 它 用 于 较 复 杂 的 协议 时 ， 它 具有 广泛 的 意义 。 











当然 ， 没 有 办 法 阻止 Alice 发 送 给 Bob 两 份 完全 无 用 的 消息 : “Nyah 
nyah” 和 “You sucker”"。 这 个 协议 确保 Alice 发 送 给 Bob 两 份 消 息 中 的 一 
份 ， 但 不 保证 Bob 想 收 到 其 中 的 任何 一 份 。 


在 文献 中 还 有 其 他 的 不 经 意 传输 协议 。 其 中 有 些 是 非 交 互 式 的 ， 即 
Alice 可 以 公布 她 的 两 份 消息 ， 并 且 Bob 只 能 收 到 其 中 一 份 。 他 能 自己 做 
此 事 ， 不 必 与 Alice 通 信 [105] 。 











没有 人 真正 注意 实际 中 能 人 否 进行 不 经 意 传输 ， 但 这 个 概念 却 是 其 他 
协议 的 重要 构成 部 分 。 尽 管 有 许多 种 不 经 意 传 输 《〈 我 有 两 个 秘密 你 得 到 
一 个 、 我 有 n 个 秘密 你 得 到 一 个 、 我 有 一 个 秘密 你 可 能 得 到 其 中 的 1 / 2 


等 ) ， 但 它们 都 是 等 价 的 [245、391 395] 。 


56 不经意 签 名 





说 实话 ， 我 不 认为 它们 好 用 ， 但 是 有 两 种 类 型 “3464 : 


(1) Alice 有 n 份 不 同 的 消息 。Bob 可 以 选择 其 中 之 一 给 Alice 签 名 ， 
Alice 没 有 办 法 知道 她 签 著 的 哪 一 份 消 恩 。 


(2) Alice 有 一 份 消息 。Bob 可 以 选择 n 个 密 钥 中 的 一 个 给 Alice 签 署 
消息 用 ，Alice 无 法 知道 她 用 的 是 哪 一 个 密 钥 。 


这 是 一 个 巧妙 的 想法 ， 我 相信 它 在 茶 些 地 方 有 用 。 


5.7 ”同时 签约 





5.7.1 THA Hae eZ 


Alice 和 Bob 想 订立 一 个 合约 。 他 们 已 经 同意 了 其 中 的 措 词 ， 但 每 个 
人 都 想 等 对 方 签名 后 再 签名 。 如 果 是 面对面 的 ， 这 很 容易 : 两 人 一 起 
签 。 如 果 距 离 远 的 ， 他 们 可 以 用 一 个 仲裁 者 。 








(1) Alice 签 署 合约 的 一 份 副本 并 发 送 给 Trent。 


(2) Bob 签 署 合 约 的 一 份 副本 并 发 送 给 Trent。 





(3) Trent 发 送 一 份 消息 给 Alice 和 Bob， 指 明 彼 此 都 已 签约 。 


(4) Alice 签 普 合 约 的 两 份 副本 并 发 送 给 Bob。 


(5) Bob 签 团 合 约 的 这 两 份 副 本 ， 上 自己 留 下 一 份 ， 并 把 为 一 份 发 送 


给 Alice。 


(6) Alice 和 Bob 都 通知 Trent 他 们 每 个 人 都 有 了 一 份 有 他 们 两 人 合 
签 的 合约 副本 。 


(7) Trent 其 毁 在 每 一 份 上 只 有 一 个 签名 的 两 份 合约 副本 。 


这 个 协议 可 行 ， 因 为 Trent 防止 双方 中 的 某 一 方 进行 欺骗 。 如 果 在 第 
(5) 步 中 Bob 拒 绝 签约 ，Alice 可 以 向 Trent 要 求 一 份 已 经 由 Bob 签 署 的 合 
约 副 本 ;如 果 在 第 〈4) 步 中 Alice 拒 绝 签名 ，Bob 也 可 以 这 么 做 。 当 在 
第 (3) 步 中 Trent 指明 他 收 到 了 两 份 合约 ，Alice 和 了 Bob 知道 彼 此 已 受到 
和 约 的 约束 。 如 果 Trent 在 第 (1) 和 第 (2) 步 中 没有 收 到 这 两 份 合约 ， 
他 便 撕 掉 已 收 到 的 那 份 ， 则 两 方 都 不 受 合约 约束 。 


5.7.2 “无需 仲裁 者 的 同时 签约 : 面对面 


如 果 Alice 和 Bob 正 面对面 坐 着 ， 那 么 他 们 可 以 这 样 来 签约 [1244 


(1) Alice 签 上 她 名 字 的 第 一 个 字母 ， 并 把 合约 递 给 Bob。 





(2) Bob 签 上 他 名 字 的 第 一 个 字母 ， 并 把 合约 递 给 Alice。 





(3) Alice 签 上 她 名 字 的 第 二 个 字母 ， 并 把 合约 递 给 Bob。 








(4) Bob 签 上 他 名 字 的 第 二 个 字母 ， 并 把 合约 递 给 Alice。 


(5) 这 样 继续 下 去 ， 直 到 Alice 和 Bob 都 签 上 他 们 的 全 名 。 


如 果 你 忽视 掉 这 个 协议 的 一 个 明显 问题 《 即 Alice 的 名 字 比 Bob 
长 ) ， 这 个 协议 照样 有 效 。 在 只 签 了 一 个 字母 之 后 ，Alice 知 道 法 官 不 会 











让 她 受 合约 条 球 约束 。 但 签 这 个 字母 是 有 诚意 的 举动 ， 并 且 Bob 回 之 以 
同样 有 诚意 的 举动 。 


在 每 一 方 都 签 了 几 个 字母 之 后 ， 或 许可 以 让 法 官 相信 双方 已 签 了 合 
约 ， 虽 然 如 此 ， 细 节 却 是 模糊 的 。 当 然 在 只 签 了 第 一 个 字母 后 他 们 确实 
不 受 约束 ， 正 如 在 签 了 全 名 之 后 他 们 理所当然 受 合约 约束 一 样 。 在 协议 
中 哪 一 点 上 他 们 算是 正式 签约 呢 ? 在 签 了 他 们 名 字 的 /2 之 后 ?2/3 之 
后 ? 3/4 之 后 ? 








因为 Alice 或 Bob 都 不 是 她 或 他 受 约束 的 准确 点 ， 他 们 每 一 位 至 少 有 
些 担心 她 或 他 在 整个 协议 上 都 受 合约 约束 。Bob 在 任 一 点 上 都 无 法 
说 :“ 你 签 了 4 个 字母 而 我 只 签 了 3 个 ， 你 受 约束 ， 但 我 不 受 。”Bob 也 没 
有 理由 不 继续 这 个 协议 。 而 且 ， 他 们 继续 得 越久 ， 法 官 裁决 他 们 受 合约 
约束 的 概率 越 大 。 另 外 ， 也 不 存在 不 继续 执行 这 个 协议 的 理由 。 毕 葛 他 
们 都 想 签约 ， 他 们 只 是 不 想 先 于 男 一 方 签约 。 











5.7.3 无需 仲裁 者 的 同时 签约 : 非 面对面 
这 个 协议 使 用 了 同一 类 型 的 不 确定 性 [1384 。Alice 和 Bob 轮 流 采 用 
小 步骤 签 晋 ， 直 到 双方 都 签约 为 止 。 


在 这 个 协议 中 ，Alice 和 Bob 交 换 一 系列 下 面 这 种 形式 的 签名 消 
fh: “我 同意 我 以 概率 p 接 受 这 个 合约 约束 。” 


消息 的 接收 方 可 以 把 它 提 交 给 法 官 ， 法 官 用 概率 p 考 虑 被 签署 的 合 
约 。 


(1) Alice 和 Bob 就 签约 应 当 完 成 的 日 期 达成 一 致意 见 。 


(2) Alice 和 Bob 确 定 一 个 双方 都 愿意 用 的 概率 差 。 例 如 ，Alice 可 
以 决定 她 不 愿 以 超过 Bob 概 率 2% 以 上 的 概率 受 合约 约束 。 设 Alice 的 概 
率 差 为 a，Bob 的 概率 差 为 b。 


(3) Alice 发 送 给 Bob 一 份 p=a 的 已 签署 的 消息 。 
(4) Bob 发 送 给 Alice 一 份 p=a+b 已 签署 的 消息 。 


(5) 令 p 为 Alice 在 前 一 步 中 从 Bob 那 里 收 到 消息 的 概率 。Alice 发 送 
给 Bob 一 份 P=p+a 或 1 中 较 小 的 已 签署 的 消息 。 


(6) 令 p 为 Bob 在 前 一 步 中 从 Alice 那 里 收 到 消息 的 概率 。Bob 发 送 
给 Alice 一 份 p=p+b 或 1 中 较 小 的 已 签署 消息 。 


(7) Alice 和 Bob 继 续 交 蔡 执 行 第 (5) BRA (6) 步 ， 直 到 双方 
都 收 到 p=1 的 消息 ， 或 者 已 到 了 在 第 〈1) 步 中 达成 一 致 的 日 期 。 


随 着 协议 的 进行 ，Alice 和 Bob 都 以 越 来 越 大 的 概率 同意 接受 合约 约 
束 。 例 如 ，Alice 定 义 她 的 a 为 2%，Bob 定 义 他 的 b 为 1% (如 果 他 们 选择 
较 大 的 增 量 则 更 好 ) 。Alice 的 第 一 份 消息 可 能 声明 她 以 2% 的 概率 受 约 


束 ，Bob 可 能 回答 他 以 3% 的 概率 接受 约束 ，Alice 的 下 一 份 消 轧 可 能 声 
明 她 以 5% 的 概率 受 约束 等 ， 直 到 双方 都 以 100% 的 概率 受 约束 。 








如 果 在 完成 日 期 之 前 Alice 和 Bob 两 者 完成 了 这 个 协议 ， 则 万 事 大 
吉 ; 否则 ， 任 何 一 方 都 可 把 合约 拿 给 法 官 ， 并 同时 递 上 另 一 方 最 后 签署 
的 消息 ， 法 官 在 看 合约 之 前 在 0 或 1 之 间 随 机 选择 一 个 。 如 果 这 个 值 小 于 
男 一 方 签 名 的 概率 ， 则 双方 都 受 合约 约束 。 如 果 这 个 值 大 于 那个 概率 ， 
则 双方 都 不 受 约束 (法 官 接着 保存 这 个 值 ， 以 防 需 判定 涉及 同一 合约 的 
其 他 事件 ) 。 这 就 是 以 概率 p 受 合约 约束 的 意思 。 








这 和 古 一 个 基本 的 协议 ， 但 还 可 以 有 更 复杂 的 协议 。 法 官 可 在 一 方 缺 
席 的 情况 下 做 出 判决 ， 法 官 的 判决 可 约束 双方 都 党 或 都 不 受 约束 ， 不 存 
在 一 方 受 约束 而 另 一 方 不 受 约束 的 情况 。 而 且 只 要 一 方 愿 意 比 另 一 方 稍 
微 高 一 点 〈 不 管 多 小 ) 的 概率 受 约束 ， 这 个 协议 将 终止 。 








5.7.4 无需 仲裁 者 的 同时 签约 : 使 用 密码 系统 
这 种 密码 协议 使 用 了 同样 的 小 步 进 方法 “53」 。 在 协议 描述 中 使 用 
了 了 DES 算法， 但 也 可 用 任意 一 种 对 称 算法 。 


(1) Alice 和 Bob 两 者 随机 选择 2n 个 DES 密 钥 ， 分 成 一 对 对 的 。 这 
些 密 钥 对 没有 什么 特别 之 处 ， 它 们 只 是 因 协 议 要 求 而 那样 分 组 。 


(2) Alice 和 Bob 都 产生 n 对 消息 ， 例 如 Li 和 Ri : “这 是 我 的 第 i 个 签 
名 的 左 半 部 分 ”和 : “这 是 我 的 第 i 个 签名 的 右 半 部 分 。” 标 识 符 i 从 1~n。 
每 份 消息 可 能 也 包含 合约 的 数字 签名 和 时 间 标 记 。 如 果 另 一 方 能 产生 一 
个 单 签名 对 的 两 半 Li 和 Ri ， 那 么 就 认为 合约 已 被 签署 。 


(3) Alice 和 Bob 两 者 用 每 个 DES 密 钥 对 加 密 他 们 的 消息 对 ， 左 半 
消息 用 密 钥 对 中 的 左 密 铀 ， 右 半 消 息 用 密 钥 对 中 的 右 密 钥 。 


(4) Alice 和 Bob 相 互 发 送 给 对 方 2n 个 加 密 消 息 ， 弄 清 哪个 消息 是 
哪 对 消息 的 哪 一 半 。 


(5) Alice 和 Bob 利 用 每 一 对 的 不 经 意 传输 协议 相互 送 给 对 方 ， 即 
Alice 送 给 Bob 或 者 用 于 独立 加 密 n 对 消息 中 每 一 对 左 半 消息 的 密 钥 ; 或 
者 用 于 加 密 右 半 消息 的 密 钥 。Bob 也 这 样 做 。 他 们 可 以 交 蔡 地 发 送 这 
些 “ 半 消息 ”或 者 先 发 送 100 对 ， 接 着 再 发 送 其 余 的 一 一 这 都 没有 关系 。 
现在 Alice 和 Bob 都 有 每 一 对 密 钥 中 的 一 个 密 钥 ,但 都 不 知道 对 方 有 哪 一 








(6) Alice 和 Bob 用 收 到 的 密 钥 解密 他 们 能 解 的 那 一 半 消 息 。 他 们 
确信 和 解密 消 妃 是 有 效 的 。 


(7) Alice 和 Bob 都 把 所 有 2n 个 DES 密 钥 的 第 一 位 发 送 给 对 方 。 


(8) Alice 和 Bob 对 所 有 2n 个 DES 密 钥 的 第 二 位 、 第 三 位 ， 重 复 第 


(7) 步 ， 如 此 继续 下 去 ， 直 到 所 有 DES 密 钥 的 所 有 位 都 被 传送 出 去 。 


(9) Alice 和 Bob 解 密 剩 余 一 半 消 息 对 ， 合 约 被 签署 。 


(10) Alice 和 Bob 交 换 在 第 (5) 步 的 不 经 意 传输 中 使 用 的 私人 密 
钥 ， 并 验证 对 方 没有 欺骗 。 





为 什么 Alice 和 了 Bob 必须 通过 所 有 步骤 呢 ? 让 我 们 假设 Alice 想 要 其 
骗 ， 看 看 会 发 生 什 么 。 在 第 (4) 步 和 第 (5) 步 中 ，Alice 可 以 通过 发 送 
给 Bob 一 批 毫 无 意义 的 位 字符 串 来 破坏 这 个 协议 。Bob 能 在 第 (6) 步 中 
发 现 这 一 点 ， 即 在 他 试图 解密 他 收 到 的 那 一 半 时 ，Bob 就 可 以 安全 地 停 
止 执行 协议 ， 此 后 Alice 便 不 能 解密 Bob 的 任何 消息 对 。 


如 果 Alice 非 常 聪 明 ， 她 可 能 只 破坏 协议 的 一 半 。 她 可 以 正确 地 发 送 
每 对 的 一 半 ， 但 发 送 一 个 毫 无 意义 的 字符 串 作 为 另 一 半 。Bob 只 有 50% 
的 机 会 收 到 正确 的 一 半 ， 故 Alice 在 一 半 的 时 间 里 可 以 进行 欺骗 。 但 是 ， 
这 只 有 在 只 有 一 对 密 钥 的 情况 下 起 作用 。 如 果 有 两 对 密 钥 ， 这 类 欺骗 可 
在 25%% 的 时 间 里 成 功 。 这 就 是 n 必 须 很 大 的 原因 。Alice 必 须 正确 地 猜 出 n 
次 不 经 意 传输 协议 的 结果 ， 她 有 1/2? 的 机 会 成 功 。 如 果 n=10，Alice 有 
1/1024 的 机 会 欺骗 Bob。 











Alice 也 可 以 在 第 (8) 步 中 给 Bob 发 送 随机 位 。 也 许 Bob 直 到 收 到 了 
全 部 密 钥 并 试图 


解密 余下 的 一 半 消 息 时 才 知 道 Alice 送 给 他 的 是 随机 位 。 但 是 ，Bob 
这 边 也 有 机 会 发 现 。 他 已 经 收 到 了 密 钥 的 一 半 ， 并 且 Alice 不 知道 是 哪 一 
半 。 如 果 n 足 够 大 ，Alice 如 果 确 实 送 给 他 一 个 无 意义 的 位 到 他 已 收 到 的 
密 钥 中 ， 则 他 能 立即 发 现 Alice 在 试图 欺骗 他 。 


也 许 Alice 将 继续 执行 第 (8) 步 直 到 她 有 是 够 多 的 密 钥 位 使 用 穷 举 
攻击 ， 然 后 再 停止 传送 位 。DES 有 一 个 56 位 长 的 密 钥 。 如 果 她 收 到 56 位 
中 的 40 位 ， 她 只 需 尝试 216 (65536) 个 密 钥 便 能 读 出 这 份 消息 
任务 对 计算 机 来 说 当然 是 轻而易举 的 。 但 是 Bob 有 同样 多 数量 的 她 的 密 
钥 位 〈 或 者 最 坏 是 少 1 位 ) ， 故 他 也 可 以 读 出 消息 。Alice 除 了 继续 这 个 
协议 外 别 无 选择 。 


这 个 








基本 点 是 Alice 必 须 公 正 地 进行 这 个 协议 ， 因 为 要 欺骗 Bob 的 机 会 太 
小 。 在 协议 结束 时 ， 双 方 都 有 n 个 签名 消 妃 时 ， 其 中 之 一 束 足 以 作为 一 
个 有 效 的 签名 。 


有 一 个 Alice 可 以 进行 欺骗 的 办 法 ， 她 可 以 在 第 (5) 步 中 发 给 Bob 
相同 消息 。Bob 直 到 协议 结束 都 不 能 察 党 这 点 ， 但 是 他 可 以 使 用 协议 副 
本 让 法 官 相信 Alice 的 欺骗 行为 。 


这 类 协议 有 两 个 弱点 “138」 。 首 先 ， 如 果 一 方 比 另 一 方 有 强大 得 多 
的 计算 能 力 ， 束 会 产生 一 个 问题 。 例 如 ， 如 果 Alice 使 用 穷 举 攻击 的 速度 
比 Bob 快 ， 那 么 她 能 在 第 (8) 步 中 较 早 地 停止 发 送 位 ， 并 目 己 推算 出 


Bob 的 密 钥 。Bob 不 能 在 一 个 合理 的 时 间 内 同样 做 到 这 一 步 ， 将 会 很 不 


ae. 


SE 


其 次 ， 如 果 一 方 提前 终止 协议 ， 也 会 产生 一 个 问题 。 如 果 Alice 突 然 
终止 协议 ， 双 方 都 面 对 同 样 的 计算 量 ， 但 Bob 设 有 任何 实际 合法 的 退 索 
权 。 例 如 ， 如 宋 合 约 要 求 他 在 一 周 内 做 一 些 事 ， 而 在 Alice 真 正 承 话 前 的 
某 一 时 刻 终止 协议 ， 使 得 Bob 将 不 得 不 花费 一 年 的 计算 量 ， 那 么 就 有 了 
一 个 问题 。 这 里 的 实际 困难 是 没有 一 个 整个 过 程 能 是 然而 止 ， 而 且 双 方 
都 有 约束 或 者 双方 都 不 受 约束 的 近期 截止 期 限 。 








这 些 问 题 也 适用 于 5.8 节 和 5.9 节 中 的 协议 。 


5.8 数字 证 明 邮 件 


用 于 签约 的 同时 不 经 意 传输 协议 也 可 以 用 于 计算 机 证 明 邮 件 1929 
， 但 要 做 一 些 修 改 。 假 设 Alice 要 把 一 条 消息 发 送 给 Bob， 但 如 果 没 有 签 
名 的 收 条 ， 她 就 不 让 他 读 出 。 确 实 ， 在 实际 生活 中 是 邮政 工作 者 来 处 理 
这 一 过 程 ， 但 相同 的 事 在 计算 机 中 可 以 使 用 密码 学 来 做 。Whitfield 
Diffie 最 先 在 文献 [490] 中 讨论 了 这 个 问题 。 





乍 一 看 ， 同 时 签约 协议 能 做 此 事 。Alice 简 单 地 用 一 个 DES 密 钥 加 密 
她 的 消息 。 她 的 一 半 协 议 可 以 是 像 这 样 一些 东 西 : “这 是 这 个 DES 密 钥 
的 左 半 : 32F5。”Bob 的 那 一 半 可 以 是 这 样 :“ 这 是 我 收 条 的 左 半 。” 其 他 
一 切 保持 不 变 。 


要 弄 明 白 为 什么 这 个 协议 不 能 工作 ， 请 记 住 这 个 协议 依赖 这 样 一 个 
EK, MER G) 步 中 的 不 经 意 传 输 保证 双方 是 诚实 的 。 他 们 两 人 都 
知道 他 们 发 送 给 另 一 方 一 个 有 效 的 半 密 钥 ， 但 都 不 知道 是 哪 一 半 。 他 们 
FER (8) 步 中 没有 进行 欺骗 ， 因 为 做 了 坏事 而 不 被 发 觉 的 机 会 太 小 。 
如 有 果 Alice 要 发 送 给 Bob 的 不 是 消 轧 ， 而 是 DES 密 钥 的 一 半 ， 那 么 在 第 
(6) 步 中 Bob 就 没有 办 法 检查 这 个 DES 密 钥 的 有 效 性 。Alice 仍 然 能 检 
查 Bob 收 条 的 有 效 性 ， 所 以 Bob 仍 然 不 得 不 是 诚实 的 。Alice 可 以 随便 发 
送 给 Bob 一 些 无 用 的 DES 密 铀 ， 直 到 Alice 收 到 一 个 有 效 的 收 条 时 才 知 道 


其 中 的 不 同 。Bob 实 在 是 命运 多 和 个。 


克服 这 个 问题 需要 对 协议 进行 一 些 调整 : 


(1) Alice 用 一 个 随机 DES 密 钥 加 密 她 的 消息 ， 并 把 它 发 送 给 
Bob 。 


(2) Alice 产 生 n 对 DES 密 钥 。 每 对 密 钥 的 第 一 个 密 钥 是 随机 产生 
的 ， 第 二 个 密 钥 是 第 一 个 密 钥 和 消息 加 密 密 钥 的 异 或 。 


(3) Alice 用 她 的 2n 个 密 钥 的 每 一 个 加 密 一 个 假 消息 。 


(4) Alice 把 所 有 加 密 消 姑 都 发 送 给 Bob， 保 证 他 知道 哪些 消息 是 
哪 一 对 的 哪 一 半 。 


(5) Bob 产 生 n 对 随机 DES 密 钥 。 


(6) Bob 产生 一 对 指明 一 个 有 效 收 条 的 消 妃 。 比 较 好 的 消 轧 可 以 
是 “这 是 我 收 条 的 左 半 ” 和 “这 是 我 收 条 的 石 半 ”， 再 附加 上 某 种 类 型 的 随 
机 位 串 。 他 做 了 n 个 收 条 对 ， 每 个 都 编 上 号 。 如 同 先 前 的 协议 一 样 ， 如 
果 Alice 能 产生 一 个 收 条 的 两 半 《 编 号 相同 ) 和 她 的 所 有 加 密 密 钥 ， 这 个 
收 条 就 认为 是 有 效 的 。 


(7) Bob 用 DES 密 钥 对 加 密 他 的 每 一 对 消息 ， 第 i 个 消息 用 第 i 个 密 
钥 ， 左 半 消 息 用 密 钥 对 中 的 左 密 钥 ， 右 半 消 息 用 密 钥 对 中 的 右 密 钥 。 


(8) Bob 把 他 的 消息 对 发 送 给 Alice， 保 证 Alice 知 道 哪个 消息 是 哪 
一 对 的 哪 一 半 。 





(9) Alice 和 Bob 利 用 不 经 意 传 输 协议 发 送 给 对 方 每 个 密 钥 对 。 也 
就 是 说 ， 对 n 对 中 的 每 一 对 而 言 ，Alice 或 者 送 给 Bob 用 来 加 密 左 半 消 息 
的 密 钥 ， 或 者 送 给 Bob 用 来 加 密 右 半 消 妃 的 密 钥 。Bob 也 同样 这 么 做 。 
他 们 可 以 或 者 交 答 传送 这 些 一 半 ， 或 者 一 方 发 送 n 个 ， 然 后 另 一 方 再 友 
送 n 个 一 一 这 都 没有 关系 。 现 在 Alice 和 Bob 都 有 了 每 个 密 钥 对 中 的 一 个 
密 钥 , 但 是 都 不 知道 对 方 有 哪些 一 半 。 











(10) Alice 和 Bob 都 解密 他 们 能 解 的 那些 一 半 ， 并 保证 解密 消息 是 
有 效 的 。 


(11) Alice 和 Bob 送 给 对 方 所 有 2n 个 DES 密 钥 中 的 第 一 位 〈 如 果 他 
们 担心 Eve 可 能 会 读 到 这 个 邮件 消息 ， 那 么 他 们 应 当 相 互 传输 加 密 ) 。 


(12) Alice 和 Bob 对 所 有 2n 个 DES 密 钥 中 的 第 二 位 、 第 三 位 都 重复 
第 (11) 步 ， 如 此 继续 下 去 ， 直 到 所 有 DES 密 钥 的 所 有 位 都 传送 完 。 





(13) Alice 和 Bob 解 密 消 息 对 中 的 余下 一 半 。Alice 有 了 一 张 来 自 
Bob 的 有 效 收 条 ， 而 Bob 能 异 或 任 一 密 钥 对 以 得 到 原始 消息 加 和 密 密 钥 。 





(14) Alice 和 和 Bob 交换 在 不 经 意 传 输 协议 期 间 使 用 私人 密 钥 ， 同 时 
每 一 方 验证 力 一 方 没有 进行 欺骗 。 





Bob 的 第 〈5) ~ (8) 步 以 及 Alice 和 Bob 的 第 (9) ~ (12) 步 都 与 
签约 协议 相同 。 意 想不到 的 手法 是 Alice 的 所 有 假 消息 。 它 们 给 予 Bob 一 
些 办 法 来 检查 第 〈10) 步 中 Alice 不 经 意 传 输 的 有 效 性 ， 这 可 以 迫使 
Alice 在 第 (11) ~ (13) 步 期 间 保持 诚实 。 并 且 如 同 同时 签约 协议 一 
样 ， 完 成 协议 要 求 Alice 的 一 个 消息 对 的 左右 两 半 。 


5.9 秘密 的 同时 交换 


Alice 知 道 秘 密 A，Bob 知 道 秘 密 B。 如 果 Bob 告 诉 Alice B，Alice 愿 意 
告诉 Bob A; 如 果 Alice 告 诉 他 A，Bob 愿 意 告诉 Alice B。 这 个 协议 可 以 
在 校园 里 遵守 一 一 但 很 明显 ， 它 不 起 作用 : 


(1) Alice: “如 果 你 先 告诉 我 ， 我 就 告诉 你 。” 
(2) Bob: “如 果 你 先 告诉 我 ， 我 就 告诉 你 。” 
(3) Alice:“ 不 ， 你 先 讲 。” 

(4) Bob:“ 噢 ， 好 吧 。”(Bob 悄 悄 说 了 。) 
(5) Alice: “ 哈 ! 我 不 告诉 你 。” 

(6) Bob:“ 那 不 公平 。” 


密码 技术 可 以 使 它 变 得 公平 。 前 面 的 两 个 协议 是 这 个 更 为 第 用 协议 
的 实现 ， 这 个 协议 允许 Alice 和 Bob 可 以 同时 交换 秘密 “529」 。 与 其 重复 
整个 协议 ， 不 如 简单 介绍 对 数字 证 明 邮 件 协 议 的 修改 情况 


Alice 使 用 A 作 为 消息 完成 第 〈1) ~ (4) 步 。Bob 用 B 作 为 他 的 消 
奶 完 成 类 似 的 步骤 。Alice 和 Bob 在 第 (9) 步 中 执行 不 经 意 传输 ， 在 第 





(10) 步 中 解密 他 们 能 解密 的 那些 一 半 消 息 ， 并 在 第 (11) 步 和 第 
(12) 步 中 处 理 完 那些 途 代 。 如 果 他 们 要 防范 Eve， 他 们 应 当 加 密 他 们 
的 消息 。 最 后 ，Alice 和 Bob 解 密 消息 对 余下 的 一 半 ， 并 异 或 任 一 密 钥 对 
来 得 到 原始 消息 加 密 密 钥 。 





这 个 协议 使 Alice 和 Bob 可 以 同时 交换 秘密 ， 但 没有 谈 到 所 交换 秘密 
的 质量 。Alice 可 以 允诺 Bob Minotaur 迷 宫 的 解法 ， 但 实际 上 送 给 他 一 张 
波士顿 地 铁 系 统 交 通 图 。Bob 将 得 到 Alice 送 给 他 的 任何 秘密 ， 无 论 这 个 
秘密 是 什么 。 其 他 协议 见 文献 [1286、195、991、1524、705、753、 





259. 358, 415] 。 


第 6 章 ”深奥 的 协议 
6.1 保密 选举 
除非 有 一 个 协议 既 能 防止 欺骗 又 能 保护 个 人 隐私 ， 否 则 计算 机 化 的 
投票 永远 不 会 在 一 般 选 举 中 使 用 。 理 想 的 协议 至 少 要 有 这 样 六 项 要 求 ; 
(1) 只 有 经 授权 的 投票 者 才能 投票 。 
(2) 每 个 人 投票 不 得 超过 一 次 。 


(3) 任何 人 都 不 能 确定 别人 投 谁 的 票 。 





(4) 没有 人 能 复制 其 他 人 的 选票 。《〈 这 一 氮 证 明 是 最 困难 的 要 


(5) 没有 人 能 修改 其 他 人 的 选票 而 不 被 发 现 。 


C6) 每 个 投票 者 都 可 以 保证 他 的 选 紧 在 最 后 的 表 中 被 计算 在 内 。 





此 外 ， 有 些 投票 方案 可 能 有 如 下 要 求 : 


(7 


el 
+ 
> 
ay 
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道 谁 投票 了 及 谁 没有 投票 。 


在 讨论 具有 这 些 特性 的 复杂 投票 协议 前 ， 我 们 先 看 几 个 比较 简单 的 


协议 。 
6.1.1 简单 投票 协议 1 

(1) 每 个 投票 者 利用 中 央 制 表 机 构 〈Central Tabulating Facility, 
CTF) 的 公开 密 钥 加 密 他 们 的 选票 。 

(2) 每 个 投票 者 把 他 们 的 选票 送 给 CTF。 

(3) CTF 将 选票 解密 ， 制 表 ， 公 布 结果 。 


这 个 协议 问题 很 多 。CTF 不 知道 选票 从 何 而 来 ， 所 以 它 甚 至 不 知道 
选票 是 否 来 自 合 格 的 投票 者 。 他 们 也 不 知道 这 些 合格 的 投票 者 是 否 投了 
一 次 以 上 的 票 。 虽 然 没 有 人 能 改变 其 他 人 的 选票 ， 但 是 当 你 可 以 相当 容 
易 地 将 你 的 选择 结果 投 无 数 次 时 ， 也 就 没有 人 试图 去 修改 其 他 人 的 选 








6.1.2 ”简单 投票 协议 2 


C1) 每 个 投票 者 用 他 的 私人 密 钥 在 选票 上 签名 。 


(2) 每 个 投票 者 用 CTF 的 公开 冤 钥 加 密 他 们 签名 的 选票。 


村 


(3) 每 个 投票 者 把 他 的 选票 送 给 CTF。 


(4) CTF 解 密 这 些 选 票 ， 检 查 签名 ， 将 选票 制 表 并 公布 结果 。 





这 个 协议 满足 了 要 求 1 和 要 求 2， 只 有 被 授权 的 投票 者 才能 投票 ， 并 
且 任 何人 都 不 能 投 一 次 以 上 的 票 。CTF 在 第 G) 步 中 记录 收 到 的 选 
票 。 每 张 选票 都 用 投票 者 的 私人 密 钥 签名 ， 故 CTF 知 道 谁 投票 了 ， 谁 没 
有 投票 ， 以 及 每 个 投票 者 投了 多 少 次 。 如 采 出 现 没 有 由 合格 投票 者 签名 
的 选票 ， 或 者 出 现 另 一 张 由 一 个 已 投 过 票 的 投票 者 签名 的 选票 ， 那 么 机 
构 可 以 不 计 这 张 选 昧 。 因 为 有 数字 签名 ， 所 以 没 人 能 改变 其 他 任何 人 的 
选票 ， 即 使 他 们 在 第 〈3) PRRI E. 





这 个 协议 的 问题 在 于 签名 附 在 选票 上 ， 故 CTF 知 道 谁 投了 谁 的 票 。 
用 CTEF 的 公开 窗 钥 加 密 选 票 阻止 任何 人 在 协议 进行 中 锣 听 ， 并 了 解 谁 投 
了 谁 的 票 ， 但 是 你 得 完全 信任 CTF。 它 类 似 于 有 一 个 选举 监督 员 在 背后 
H] 44 PRIEST ASR AA 








这 两 个 例子 说 明 要 满足 安全 投票 协议 的 前 三 个 要 求 是 多 么 困难 ， 更 
别 说 其 他 的 要 求 了 。 





6.1.3 ”使 用 讶 签名 投票 





我 们 需要 以 茶 种 办 法 切断 投票 者 与 选票 的 关系 ， 同 时 仍 能 保持 鉴 
别 。 育 签名 协议 正好 可 以 做 到 这 一 点 。 





D 每 个 投票 者 产生 10 个 消 轧 集 ， 其 中 对 每 一 种 可 能 结果 都 有 一 
张 有 效 选票 〈 例 如 ， 如 果 是 一 个 Yes 或 No 的 选票 ， 则 每 个 集合 中 包含 两 
张 选票 ， 一 张 *Yes” 且 另 一 张 *No”) 。 每 条 消息 也 包含 一 个 随机 产生 的 
识别 号 ， 这 个 数 要 大 到 足以 避免 和 其 他 投票 者 重复 。 





(2) 每 个 投票 者 分 别 隐蔽 所 有 的 消息 《参见 5.3 节 ) 并 把 它们 同 言 
因子 一 起 及 送 给 CTF。 


(3) CTF 检 查 它 的 数据 库 以 保证 投票 者 先前 不 曾 以 他 们 的 签名 所 
交 过 隐蔽 好 的 选票 。CTF 打 开 9 个 集合 以 检查 它们 是 否 正确 形成 ， 然 后 
分 别 对 这 个 集合 中 的 每 一 条 消息 签名 ， 接 着 把 它们 送 回 给 投票 者 ， 并 把 
投票 者 的 名 字 存 在 CTF 的 数据 库 中 。 








(4) 投票 者 除去 这 些 消 明 的 隐蔽， 留 下 由 CTF 签 名 的 一 组 选票 
(这 些 选票 签 了 名 ， 但 未 加 密 ， 故 投票 者 能 轻易 地 知道 哪 张 选票 
是 “Yes”、 哪 张 是 “No”) 。 


(5) 投票 者 选择 其 中 一 张 选票 〈 哈 ， 很 民主 ) ， 并 用 CTF 的 公开 
密 钥 对 它 加 密 。 





(6) 投票 者 投 出 他 们 的 选票 。 











(7) CTF 将 选票 解密 ， 检 查 签 名 ， 检 查 数 据 库 中 是 否 有 重复 的 识 
别 号 ， 保 存 这 个 序号 并 将 选票 制 表 ， 公 布 选举 结果 以 及 每 个 序号 和 其 相 








天 的 选票 。 


一 个 恶意 的 投票 者 ， 我 们 不 妨 称 为 Mallory， 他 不 可 能 欺骗 这 个 系 
统 。 育 签名 协议 确保 他 的 选票 是 独一无二 的 。 如 末 他 试图 在 同一 次 选举 
中 投 两 次 票 ， 则 CTF 将 在 第 《7) 步 中 发 现 重 复 的 序号 并 把 第 二 张 选票 
扔 反 。 如 采 他 试图 在 第 D 步 中 得 到 多 张 签名 的 选票 ， 则 CTEF 将 在 第 
(3) 步 中 发 现 这 一 点 。 因 为 Mallory 不 知道 这 个 机 构 的 私人 密 铀 ， 所 以 
他 不 能 产生 他 目 己 的 选票 。 同 样 他 也 不 能 截取 和 改变 其 他 人 的 选票 。 





第 (3) 步 的 分 割 选择 协议 是 为 了 保证 选票 的 唯一 性 。 疫 有 这 一 
步 ，Mallory 可 以 制造 大 量 相同 的 选 昧 《除了 识别 号 不 同 外 ) ， 并 且 使 
这 些 选票 全 都 有 效 。 





一 个 恶意 的 CTF 不 可 能 了 解 个 人 如 何 投票 。 因 为 讶 签名 协议 防止 了 
这 个 机 构 在 人 们 投票 前 看 到 选 标 上 的 序号 ， 所 以 CTF 无 法 把 它 签 名 的 隐 
藤 好 的 选 紧 与 最 终 投 出 的 选票 联系 起 来 。 公 布 序号 清单 和 它们 的 相关 选 
票 使 得 投票 者 能 肯定 他 们 的 选票 被 正确 地 统计 制 表 。 


这 里 仍然 有 问题 。 如 果 第 (6) 步 不 是 匿名 的 ，CTF 通 过 记录 谁 投 
了 哪 张 选票 ， 就 能 知道 谁 投 谁 的 票 。 但 是 ， 如 果 收 到 的 选票 在 一 个 锁 着 
的 选票 箱 里 ， 并 且 随 后 把 它们 制 表 ， 则 CTEF 就 不 能 记录 。 还 有 ， 虽 然 
CTEF 不 能 把 选票 同 个 人 联系 起 来 ， 但 能 产生 大 量 签 名 的 有 效 选票 ， 供 自 
己 进行 欺骗 。 而 且 如 果 Alice 发 现 CTF 修 改 了 她 的 选票 ， 她 没有 办 法 证 








明 。 [1195. 1370] 中 有 一 个 类 似 的 协议 试图 弥补 这 些 问题 。 
6.1.4 ”市 有 两 个 中 央 机 构 的 投票 


一 种 解决 办 法 是 将 CTF 一 分 为 二 。 没 有 哪 一 方 自己 有 能 力 进 行 欺 
骗 。 


下 面 这 个 协议 使 用 一 个 中 央 合 法 机 构 (Central Legitimization 
Agency, CLA) 来 证 明 投票 者 ， 一 个 单独 的 CTF 来 计 票 [1373] 。 





D 每 个 投票 者 发 送 一 条 消息 给 CLA 要 求 得 到 一 个 有 效 数 字 。 


(2) CLA 送 回 给 投票 者 一 个 随机 的 有 效 数 字 。CLA 保 持 一 张 有 效 
数字 列表 ， 也 保留 一 张 有 效 数字 接收 者 的 名 单 ， 以 防止 有 人 试图 再 次 投 


E 


(3) CLA 把 有 效 数 字 列 表 送 给 CTF 。 


(4) 每 个 投票 者 选择 一 个 随机 识别 号 。 他 们 用 该 识别 号 、 从 CLA 
收 到 的 有 效 数 字 和 他 们 的 选票 一 起 产生 一 条 消息 ， 把 这 条 消 轧 送 给 
CTF. 





(5) CTF 对 照 它 在 第 (3) 步 中 从 CLA 收 到 的 列表 来 检验 有 效 数 
字 。 如 果 数 字 存 在 ，CTF 就 把 它 划 掉 〈( 防 止 任何 人 投票 两 次 ) 。CTF 把 





识别 号 加 入 到 投了 某 位 候选 者 的 人 员 名 单 上 ， 并 在 记 数 中 加 1。 


(6) 在 收 到 所 有 的 选票 后 ，CTF 公 布 结果 、 识 别 号 以 及 这 些 识别 
号 所 有 者 投了 谁 的 票 。 


就 像 前 面 的 协议 一 样 ， 每 个 投票 者 能 够 看 到 识别 号 的 列表 ， 并 在 其 
中 找到 他 目 己 的 识别 号 ， 这 歌 证 明 他 的 选票 被 计数 了 。 当 然 ， 协 议 中 各 
方 之 间 传递 的 所 有 消息 应 当 加 密 并 签名 ， 以 防止 一 些 人 假冒 妃 一 些 人 或 
截取 传送 。 


因为 每 个 投票 者 都 要 寻找 他 们 的 识别 字符 串 ， 所 以 CTF 不 能 修改 选 
票 。 如 采 投 票 者 找 不 到 他 的 识别 号 ， 或 者 发 现 他 的 识别 号 在 不 是 他 们 所 
投票 的 记录 中 ， 他 会 立即 知道 这 中 间 有 和 舞 浆 行为 。 因 为 CTF 受 CLA 监 
车 ， 所 以 它 不 能 把 假 选票 塞 进 投 票 箱 。CLA 知 道 有 多 少 个 投票 者 已 被 验 
证 以 及 他 们 的 鉴别 数字 ， 并 会 检测 到 任何 窜改 。 








Mallory 不 是 一 个 合格 的 投票 者 ， 他 可 以 试图 通过 猜测 有 效 数 字 来 
进行 欺 骄 。 但 通过 使 可 能 的 有 效 数 字 比 实际 有 效 数字 大 得 多 的 方法 可 使 
这 种 威胁 降 到 最 低 。 例 如 ，100 万 个 投票 者 的 100 位 数字 。 当 然 ， 有 效 数 
字 必 须 是 随机 产生 的 。 





管 这 样 ，CLA 在 某 些 方面 仍 是 一 个 可 信任 的 机 构 。CLA 能 验证 出 
不 合格 的 投票 者 ， 能 对 合格 投票 者 多 次 验证 。 通 过 让 CLA 公 布 被 验证 的 
投票 者 (但 不 是 他 们 的 鉴别 数字 〉 的 清单 可 使 这 种 风险 最 小 化 。 如 果 这 











个 清单 上 投票 者 的 数目 小 于 已 制 表 的 选票 的 数目 ， 那 么 其 中 肯定 有 诈 。 
如 果 被 验证 的 投票 者 比 已 制 表 的 选票 多 ， 可 能 意味 着 一 些 被 验证 的 人 未 
投票 。 很 多 人 注册 投票 ， 但 却 没 有 将 选票 投 进 票 箱 


这 个 协议 也 易 受 到 CLA 和 CTF 的 合谋 攻击 。 如 果 它 们 两 个 串通 一 
气 ， 就 可 以 将 数据 库 联系 起 来 并 知道 谁 投了 谁 的 票 。 


6.1.5” 斋 有 单个 中 央 机 构 的 投票 


使 用 一 个 更 复杂 的 协议 能 克服 CLA 和 CTF 合 谋 的 危险 [1373」 。 这 
个 协议 和 带 有 两 个 中 央 机 构 的 投票 协议 基本 相同 ， 但 做 了 两 处 修改 : 


-CLA 和 CTF 是 一 个 组 织 ， 并 且 


"ANDOS (参见 4.13 节 )〉 用 来 在 第 (2) 步 中 匿名 分 配 有 效 数 字 。 





因为 匿名 的 密 钥 分 配 协 议 防止 CTF 知 道 哪个 投票 者 得 到 了 哪个 有 效 
数字 ， 所 以 CTF 没 有 办 法 把 收 到 的 选票 和 有 效 数 字 联 系 起 来 ， 虽 然 仍 必 
须 相 信 CTF 不 会 把 有 效 数 字 给 不 合格 的 投票 者 。 即 使 如 此 你 也 可 以 使 用 
时 签名 来 解决 这 个 问题 


6.1.6 ”改进 的 市 有 单个 中 央 机 构 的 投票 


这 个 协议 也 使 用 ANDOS 1115]」 。 它 满足 一 个 好 的 投票 协议 的 所 有 





六 个 要 求 ， 但 不 满足 第 七 个 要 求 。 不 过 它 还 具有 另外 两 个 性 质 : 





(7) 投票 者 可 以 在 一 个 给 定 的 时 间 内 改变 主意 《〈“ 即 收回 他 们 的 选 
票 并 重新 投票 ) 


(8) 如 果 投 票 者 发 现 他 们 的 选票 被 误 计 ， 他 们 能 够 鉴别 并 纠正 这 
个 问题 ， 同 时 不 会 危害 到 他 投票 的 秘密 。 


下 面 是 这 个 协议 : 


(1) CTF 公 布 所 有 合法 投票 者 的 名 单 。 


(2) 在 一 个 指定 的 截止 日 期 内 ， 每 个 投票 者 都 把 他 的 投票 意图 告 
诉 CTF。 


(3) CTF 公 布 参加 选举 的 投票 者 。 


(4) 每 个 投票 者 都 使 用 ANDOS 协 议 ， 收 到 一 个 鉴别 数字 I。 





(5) 每 个 投票 者 产生 一 个 公开 密 钥 / 私 人 密 钥 对 : k 和 d。 如 果 v 是 
选票 ， 他 们 产生 出 下 列 消息 并 将 它 送 给 CTF; I，E。(I，v) 。 该 消息 
必须 匿名 发 送 。 


(6) CTF 通 过 公布 E，(I，v) 确认 收 到 选票 。 


(7) 每 个 投票 者 送 给 CTF 以 下 消息 : I 


(8) CTF 解 密 选 票 。 在 选举 结束 时 ， 它 公布 选举 结果 ， 并 且 对 每 
张 不 同 选票 公布 包含 那 张 选票 的 所 有 Ek (I，v) 值 的 列表 。 


(9) 如 果 投 票 者 发 现 他 们 的 选票 没有 被 正确 计数 ， 他 们 通过 给 
CTF 发 送 以 下 消息 来 表示 抗议 : LE (I, v), d 


(10) 如 果 投 票 者 想 把 他 的 选票 从 v 改 为 〈 这 在 某 些 选举 中 是 可 
能 的 ) ， 他 们 发 送 给 CTF 以 下 消息 : L Ek Uv), do 


有 一 种 不 同 的 投票 协议 用 盲人 签名 代 蔡 ANDOS， 但 其 本 质 是 相同 的 
L585] 。 第 (1) ~ (3) 步 是 实际 投票 的 开始 ， 目 的 是 开 清 楚 并 公布 实 
际 投 票 者 的 总 数 。 虽 然 一 些 人 可 能 不 参加 ， 但 这 减少 了 CTF 增 加 假 骨 选 
票 的 可 能 性 。 


在 第 (4) 步 中 ， 两 个 投票 者 可 能 得 到 相同 的 鉴别 数字 。 通 过 让 可 
能 的 鉴别 数字 远 远 超过 实际 的 投票 者 的 数目 能 使 这 种 可 能 性 最 小 化 。 如 
果 两 个 投票 者 提交 了 带 相同 鉴别 标记 的 选票 ，CTF 就 产生 一 个 新 鉴别 数 
字 I， 选 择 两 张 选票 中 的 一 张 并 公布 : I, El (lI, v) 。 


这 张 选票 的 所 有 者 将 认 出 它 来 ， 并 通过 重复 第 (5) 步 ， 交 上 第 二 
张 帝 新 鉴别 数字 的 选票 。 


B O 步 让 所 有 投票 者 能 够 检查 CTF 确 实 收 到 了 他 们 的 选 昧 。 如 
果 他 们 的 选票 被 误 计 了 ， 则 他 们 可 以 在 第 〈9) 步 中 验证 这 一 情况 。 假 








设 在 第 (6) 步 中 投票 者 的 选票 是 对 的 ， 则 在 第 〈9) 步 中 他 们 发 送 的 消 
县 构成 了 他 们 选票 被 误 计 的 证 据 。 

这 个 协议 的 一 个 问题 是 一 个 腐败 的 CTF 可 给 在 第 (2) 步 中 响应 的 
人 分 发 选票 ， 但 不 能 给 实际 不 投票 的 人 分 发 选票 。 另 一 个 问题 是 
ANDOS 协 议 的 复杂 性 。 设 计 者 建议 把 一 大 群 投 票 人 分 成 几 个 小 群 ， 如 
ie aed he ir Se 

男 一 个 更 为 严重 的 问题 是 CTF 可 能 漏 计 选票 。 这 个 问题 无 法 解决 : 
Alice 宣 称 CTF 故 意 漏 计 她 的 选票 ， 但 是 CTF 宣 称 投票 人 没有 投票 。 


6.1.7 无 需 中 央 制 表 机 构 的 投票 


这 个 协议 完全 省 却 了 使 用 CTF， 投 票 者 互相 监督 。 它 是 由 Michael 
Merrit 设 计 的 [452、1076、453] 。 它 难以 操作 以 至 于 只 有 在 少数 几 个 人 中 
才能 实际 实现 ， 然 而 我 们 可 以 从 中 学 到 一 些 东 西 。 


Alice、Bob、Carol 和 Dave 正 在 对 一 个 特殊 问题 进行 Yes 或 No 〈0 或 
1) 的 投票 。 假 设 每 个 投票 者 都 有 一 个 公开 密 钥 和 一 个 私人 密 钥 。 还 假 
设 每 个 人 都 知道 其 他 人 的 公开 密 铀 。 


C1) 每 个 投票 者 选择 一 张 选 票 并 做 以 下 事情 : 


Ca) 在 他 们 的 选 昧 上 附 上 一 个 随机 字符 串 。 


(b) 用 Dave 的 公开 密 钥 加 密 Ca) 的 结 
Cc) 用 Carol 的 公开 密 钥 加 密 〈b) 的 结 
(d) 用 Bob 的 公开 密 钥 加 密 (c) 的 结果 。 
Ce) 用 Alice 的 公开 密 钥 加 密 〈d) 的 结果 。 


O Æ e) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Dave 的 公开 
密 钥 对 它 加 密 。 记 下 这 个 随机 字符 串 的 值 。 





W E O 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Carol 的 公开 
密 钥 对 它 加 密 。 记 下 这 个 随机 字符 串 的 值 。 





Ch) 在 (g) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Bob 的 公开 
密 钥 对 它 加 密 。 记 下 这 个 随机 字符 串 的 值 。 





(i) Æ h) 的 结果 中 附 上 一 个 新 的 随机 字符 串 ， 并 用 Alice 的 公开 
密 钥 对 它 加 密 。 记 下 这 个 随机 字符 串 的 值 。 








如 琳 E 是 加 密 函 数 ，R 是 一 个 随机 字符 串 ， 且 V 是 选 办 ， 则 选 紧 看 起 
来 像 : 


(Ws RT 





所 有 的 投票 者 记 下 计算 中 每 一 点 的 中 间 结 果 ， 后 面 将 会 用 这 些 结 
来 确定 他 们 的 选票 是 否 被 计数 。 


(2) 每 个 投票 者 把 他 的 选票 送 给 Alice。 


(3) Alice 用 她 的 私人 密 钥 对 所 有 的 选票 解密 ， 接 着 将 那 一 级 中 所 
有 随机 字符 串 删 去 。 





(4) Alice 转 乱 所 有 选 肾 的 秩序 并 把 结果 送 给 Bob。 现 在 每 张 选票 
看 起 来 像 这 样 : 


P a a) op ae) 


(5) Bob 用 他 的 私人 密 钥 对 所 有 的 选票 解密 ， 查 看 他 的 选票 是 否 在 
选票 集中 ， 删 去 那 一 级 中 所 有 随机 字符 串 ， 置 乱 所 有 的 选票 然后 把 结 
送 给 Carol。 现 在 每 张 选 票 看 起 来 像 这 样 : 
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(6) Carol Hy anya Ae BOT A AY a6 os A a, EE EE ee 
在 选票 集中 ， 删 去 那 一 级 所 有 的 随机 字符 串 ， 置 乱 所 有 的 选票 ， 然 后 把 
结果 送 给 Dave。 现 在 每 张 选票 看 起 来 像 这 样 : 








Ey Ci Er Cee Gee Ch CR 


(7) Dave 用 他 的 私人 密 钥 对 所 有 的 选票 解密 ， 碍 看 他 的 选票 是 人 否 
在 选票 集中 ， 删 去 那 一 级 中 所 有 随机 字符 串 ， 置 乱 所 有 的 选票 ， 并 把 结 
果 送 给 Alice。 现 在 每 张 选 紧 看 起 来 像 这 样 : 








E, (Ep (Ec (Ep (V, RI)))) 


(8) Alice 用 她 的 私人 密 钥 对 所 有 选票 解密 ， 碍 看 她 的 选票 是 否 在 
选票 集中 ， 签 名 所 有 选票 ， 并 把 结果 送 给 Bob、Carol 和 Dave。 现 在 每 张 
选票 看 起 来 像 这 样 : 
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(9) Bob 验证 并 删 去 Alice 的 签名 。 他 用 他 的 私人 密 钥 对 所 有 的 选 
票 解密 ， 查 看 他 的 选票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 人 然后 把 结 
果 送 给 Alice、Bob 和 Dave。 现 在 每 张 选票 看 起 来 像 这 样 : 





Sp (Ec (Ep (V, R) ) ) 


(10) Carol 验 证 并 删 去 Bob 的 签名 。 她 用 她 的 私人 密 钥 对 所 有 选票 
解密 ， 碍 看 她 的 选票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 然 后 把 结果 
送 给 Alice、Bob 和 Dave。 现 在 每 张 选票 看 起 来 像 这 样 : 


Se (Ep (V, R) ) 


(11) Dave 验 证 并 删 去 Carol 的 签名 。 他 用 他 的 私人 密 钥 对 所 有 选 


票 解密 ， 查 看 他 的 选票 是 否 在 选票 集中 ， 对 所 有 的 选票 签名 ， 人 然后 把 结 
果 送 给 Alice、Bob 和 Carol。 现 在 每 张 选 票 看 起 来 像 这 样 : 





Sa CR 


(12) 所 有 人 验证 并 删 去 Dave 的 签名 。 通 过 检验 以 确信 他 们 的 选票 
在 选票 集中 《通过 在 选票 中 寻找 他 们 的 随机 字符 串 ) 。 


(13) 每 个 人 都 从 自己 的 选票 中 删 去 随机 字符 串 并 记录 每 张 选票。 


这 个 协议 不 仅 起 作用 ， 而 且 还 能 自我 判决 。 如 果 有 人 试图 进行 欺 
骗 ，Alice、Bob、Carol 和 Dave 将 立即 知道 。 这 里 不 需要 CTF 和 CLA。 为 
了 和 弄 清 楚 这 是 怎样 起 作用 的 ， 我 们 来 试 演 行 骗 。 


如 果 有 人 想 把 假 票 塞 进 票 箱 ，Alice 在 第 (3) 步 当 她 收 到 比 人 数 多 
的 选票 时 就 会 发 现 这 一 企图 。 如 果 Alice 试 图 把 假 票 塞 进 票 箱 ，Bob 将 在 
第 (4) 步 中 发 现 。 


一 种 更 狐 独 的 欺骗 方法 是 用 一 张 选 票 蔡 换 另 一 张 。 因 为 选票 是 用 各 
种 不 同 的 公开 密 钥 加 密 的 ， 任 何人 都 能 按 其 需要 创造 很 多 有 效 的 选票 。 
这 里 解密 协议 有 两 轮 : 第 一 轮 包 括 第 (3) ~ (7) 步 ， 第 二 轮 包括 第 
(8) ~ (11) 步 。 蔡 换 选 票 会 在 不 同 轮 次 被 分 别 发 现 。 








如 果 有 人 在 第 二 轮 中 用 一 张 选票 从 换 另 一 张 ， 他 的 行为 会 立即 家 发 
现 。 在 每 一 步 上 选票 被 签名 并 送 给 所 有 投票 者 。 如 果 一 个 《或 更 多 ) 投 





票 者 注意 到 他 的 选 紧 不 再 在 选票 集中 ， 他 就 立即 中 止 协议 。 因 为 选票 在 
每 一 步 都 被 签名 ， 并 且 因 为 每 个 人 都 能 反 辐 进行 协议 的 第 二 轮 ， 所 以 很 
容易 发 现 谁 苦 换 了 选票。 





在 协议 的 第 一 轮 用 一 张 选 票 蔡 换 另 一 张 显 得 更 为 高 明 。Alice 不 能 在 
第 G) 步 中 这 样 做 ， 因 为 Bob、Carol 或 Dave 会 在 第 (5) ~ (7) 步 中 
发 现 。Bob 可 以 在 第 〈5) 步 中 这 样 做 。 如 果 他 蔡 换 了 Carol 或 Dave 的 选 

票 〈 记 住 ， 他 不 知道 哪 张 选票 对 应 哪个 投票 者 ) ，Carol 或 Dace 将 在 第 
(6) ~ (7) 步 中 发 现 ， 他 们 不 知道 是 谁 窜改 了 他 们 的 选票 (虽然 这 一 
定 是 某 个 已 经 处 理 过 选票 的 人 ) ， 但 他 们 知道 自己 的 选票 被 窜改 了 。 如 
果 Bob 幸 运 地 挑选 了 Alice 的 选票 来 替换 ， 她 要 到 第 二 轮 才 会 发 现 。 接 
着 ，Alice 在 第 (8) 步 中 会 发 现 她 的 选票 遗失 了 ， 但 她 仍然 不 知道 谁 窜 
改 了 她 的 选票 。 在 第 一 轮 中 ， 选 票 在 从 一 步 到 另 一 步 时 被 搅乱 并 且 未 被 
签名 ， 任 何人 都 不 可 能 反 向 跟踪 协议 以 确定 谁 窜改 了 选票 。 
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轮 ， 所 以 任何 人 都 不 可 能 反 回 跟踪 协议 ， 并 把 投票 者 与 选票 联系 起 来 。 
在 第 二 轮 中 删 去 随机 字符 串 对 保护 匿名 性 来 说 关系 重大 。 如 有 果 它 们 未 科 
删除 ， 通 过 用 置 乱 者 的 公开 密 钥 对 出 现 的 选 桶 重新 加 密 惑 能 将 选票 的 置 
乱 还 原 。 由 于 协议 的 固有 性 质 ， 选 票 的 机 密 性 是 有 保障 的 。 











更 有 甚 者 ， 因 为 有 初始 随机 字符 串 Ri ， 所 以 即使 一 样 的 选票 在 协 
议 的 每 一 步 也 都 被 加 密 成 不 同 的 选票 。 直 到 第 〈11) 步 人 们 才能 知道 选 


票 的 结 


这 个 协议 的 问题 是 什么 呢 ? 首先 ， 这 个 协议 计算 量 特别 大 。 前 面 所 
述 的 例子 仪 有 四 个 投票 者 就 已 经 很 复 洒 了 。 这 个 协议 在 实际 的 选举 中 无 
法 奏效 ， 因 为 有 成 和 于 上 万 的 投票 者 。 其 次 ，Dave 先 于 其 他 人 知道 选举 结 
果 。 虽 然 他 还 不 能 影响 选举 结果 ， 但 这 给 了 他 一 些 别 人 没有 的 权力 。 忆 
一 方面 ， 带 有 中 央 机 构 的 投票 方案 也 是 合乎 实际 情况 的 。 





第 三 个 问题 是 Alice 能 复制 其 他 人 的 选票 ， 即 使 事先 她 并 不 知道 它 是 
什么 。 为 了 弄 清 这 个 问题 的 原因 ， 设 想 一 个 Alice、Bob 和 Eve 的 三 人 选 
举 。Eve 并 不 关心 选举 结果 ， 但 是 她 想 知 道 Alice 是 怎样 投票 的 。 因 此 她 
可 以 复制 Alice 的 选票 ， 保 证 选举 的 结果 等 于 Alice 的 投票 。 





6.1.8 ”其 他 投票 方案 





人 们 已 经 提出 许多 复杂 的 安全 选举 协议 。 它 们 来 自 两 个 不 同 风 格 的 
基本 协议 。 有 一 些 混 合 协议 ， 像 “无 需 中 央 制 表 机 构 的 协议 ”， 这 里 每 人 
的 选票 都 被 混合 以 便 没 有 人 能 把 选票 与 投票 者 联系 起 来 。 


也 有 选票 被 分 开 的 协议 ， 单 独 的 选票 在 不 同 的 制 表 机 构 被 分 散 开 ， 
单独 的 一 个 机 构 不 能 欺骗 投票 者 "360、359、118、115] 。 这 个 协议 仅 在 政 
府 〈 或 管理 投票 的 机 构 〉 的 “不 同 ” 部 门 不 串通 起 来 对 付 投 票 者 的 情况 下 
才能 保护 投票 者 的 隐私 。《〈 将 一 个 中 央 机 关 分 成 不 同 部 门 ， 仅 在 它们 都 








聚 在 一 起 时 才 可 信任 的 想法 来 自 文 献 [316] ) 。 


文献 [1371] 中 有 一 个 选票 被 分 开 的 协议 。 它 的 基本 思想 是 每 一 个 
投票 者 把 他 的 选票 分 成 多 份 。 例 如 ， 如 果 选 票 是 yes 或 no， 则 可 以 用 1 代 
表 yes 而 0 代表 no。 然 后 投票 者 产生 多 个 数字 ， 它 们 的 和 为 1 或 0。 将 选票 
送 给 制 表 机 构 ， 一 个 部 分 一 份 ， 并 且 每 一 份 都 被 加 密 邮寄 。 机 构 的 每 个 
部 分 标记 它 收 到 的 那 一 份 (有 一 个 验证 标记 是 否 正 确 的 协议 ) ， 最 终 的 
投票 结果 是 所 有 的 标记 之 和 。 还 有 一 个 协议 保证 每 个 投票 者 的 部 分 数值 
和 为 1 或 0。 








David Chaum 提 出 另 一 个 协议 [3224 ， 它 确保 跟踪 任何 企图 破坏 选 
举 的 投票 人 。 但 是 ， 那 样 做 必须 在 不 得 干扰 投票 者 的 情况 下 重复 选举 过 
程 ， 这 种 方法 对 于 大 规模 选举 是 不 实用 的 。 





另 一 个 更 复杂 的 投票 协议 解决 了 这 方面 的 一 些 问 题 770、 771」 。 甚 
至 有 一 个 投票 协议 使 用 了 多 密 钥 密 码 [219」 。 还 有 一 个 投票 协议 ， 宣 称 
对 大 规模 选举 是 实用 的 ， 见 文献 L585」。 文 献 L347] 允许 投票 者 茎 
权 。 


投票 协议 有 效 ， 但 它们 使 买卖 选票 变 得 更 加 容易 ， 因 为 买方 相信 出 
售 的 选票 是 合法 的 。 有 些 协议 设计 成 不 要 收 条 (receipt-free) ， 这 使 得 
投票 者 不 可 能 以 某 种 方式 向 其 他 人 证 明 他 的 投票 L7 1170, 1372], 





62 你 密 的 多 方 计 算 


保密 的 多 方 计算 是 一 种 协议 ， 在 这 种 协议 中 ， 一 群 人 可 在 一 起 用 一 
种 特殊 的 方法 计算 许多 变量 的 任何 函数 。 其 中 每 个 人 都 知道 这 个 函数 的 
值 ， 但 除了 函数 的 输出 外 ， 没 有 人 知道 天 于 任何 其 他 成 员 输 入 的 任何 事 
情 。 以 下 是 该 协议 的 几 个 例子 。 


6.2.1 协议 1 


一 群 人 怎样 才能 计算 出 他 们 的 平均 薪水 而 又 不 让 任何 人 知道 其 他 人 
的 薪水 呢 ? 


(1) Alice 在 她 的 薪水 上 加 一 个 秘密 的 随机 数 ， 并 把 结果 用 Bob 的 
公开 密 钥 加 密 ， 然 后 把 它 送 给 Bob。 


(2) Bob 用 他 的 私人 密 钥 对 Alice 的 结果 人 解密。 他 把 他 的 薪水 加 到 
他 从 Alice 那 里 收 到 的 结果 上 上， 用 Carol 的 公开 密 钥 对 结果 加 密 ， 并 把 它 


送 给 Carol。 


(3) Carol 用 她 的 私人 密 钥 对 Bob 的 结果 解密 。 她 把 她 的 薪水 和 她 
从 Bob 那 里 收 到 的 结果 相 加 ， 再 用 Dave 的 公开 密 钥 对 结果 加 密 ， 并 把 它 


送 给 Dave。 


(4) Dave 用 他 的 私人 密 钥 对 Carol 的 结果 解密 。 他 把 他 的 薪水 和 他 
从 Carol 那 里 收 到 的 结果 相 加 ， 再 用 Alice 的 公开 密 钥 对 结果 加 和 密 ， 并 把 


它 送 给 Alice。 


(5) Alice 用 她 的 私人 密 钥 对 Dave 的 结果 解密 。 她 减 去 第 一 步 中 的 
随机 数 以 恢复 每 个 人 薪水 之 总 和 。 


(6) Alice 把 这 个 结果 除 以 人 数 〈 这 里 是 4) ， 并 宣布 结 


这 个 协议 假定 每 个 人 都 是 诚实 的 。 如 果 参 与 者 谎报 了 他 们 的 薪水 ， 
则 这 个 平均 值 将 是 错误 的 。 一 个 更 严重 的 问题 是 Alice 可 以 对 其 他 人 谎报 
结果 。 在 第 (5) 步 她 可 以 从 结果 中 减 去 她 喜欢 的 数 ， 并 且 没 有 人 能 知 
道 。 可 以 通过 使 用 任何 4.9 节 中 的 位 承诺 方案 要 求 Alice 传 送 她 的 随机 数 
来 阻止 Alice 这 样 做 ， 但 当 Alice 在 协议 结束 时 泄露 了 她 的 随机 数 ，Bob 就 
可 以 知道 她 的 薪水 。 








6.2.2 ”协议 2 


Alice 和 Bob 一 起 坐 在 一 家 餐馆 中 ， 正 在 争论 谁 的 年 纪 大 。 然 而 他 们 
都 不 想 告 诉 对 方 他 们 的 年 龄 。 他 们 可 以 把 他 们 的 年 龄 悄悄 地 告诉 一 个 可 
信赖 的 中 立方 《例如 ， 侍 者) ， 那 个 人 在 脑 中 比较 两 个 数 并 对 Alice 和 


Bob 宣 布 这 个 结果 。 





上 面 的 这 个 协议 存在 两 个 问题 。 一 个 是 ， 普 通 侍者 不 具备 处 理 比 确 
定 两 个 数 之 中 哪 一 个 大 更 复杂 的 问题 的 计算 能 力 ; 另 一 个 是 ， 如 果 Alice 
和 Bob 真 的 关心 他 们 信息 的 秘密 ， 他 们 不 得 不 将 这 个 侍者 扔 进 一 个 汤 硕 
济 死 ， 以 免 他 告诉 酒楼 服务 员 。 





公开 密 钥 密码 学 提供 了 一 个 远 非 如 此 残暴 的 解决 办 法 。 有 一 个 协议 
征 Alice 知 道 一 个 值 a， 且 Bob 知 道 一 个 值 b， 他 们 能 一 起 确定 a 是 否 小 于 
b， 而 Alice 得 不 到 b 的 任何 信息 ，Bob 也 得 不 到 a 的 任何 信息 。 并 且 ， 
Alice 和 Bob 能 相信 计算 的 有 效 性 。 所 有 的 密码 学 算法 都 是 这 个 协议 的 重 


要 部 分 ， 详 细 情 况 参 见 23.14 节 。 





当然 ， 这 个 协议 不 防止 主动 欺骗 者 。 没 有 办 法 防止 Alice (Bob) 
说 报 他 们 的 年 龊 。 如 果 Bob 是 一 个 隐蔽 执行 这 个 协议 的 计算 机 程序 ， 那 
么 Alice 通 过 反复 执行 这 个 协议 可 以 知道 他 的 年 龄 。《 一 个 计算 机 程序 的 
年 龄 是 指 从 程序 被 写 出 以 来 的 时 间 长 上 度 ， 还 是 从 它 开始 运行 的 时 间 长 
BE? ) Alice 可 以 在 执行 这 个 协议 时 ， 指 定 她 的 年 龄 为 60。 在 得 知 她 的 年 
龄 大 时 ， 她 可 以 将 她 的 年 龄 指定 为 30， 再 次 执行 这 个 协议 。 在 得 知 Bob 
的 年 龄 大 后 ， 她 可 以 称 她 的 年 龄 为 45 再 次 执行 这 个 协议 ， 依 此 继续 下 
去 ， 直 到 Alice 发 现 Bob 的 年 龄 达到 她 所 希望 的 精确 度 。 


假设 参与 者 不 主动 欺骗 ， 很 容易 把 这 个 协议 推广 到 多 个 参与 者 。 任 
何 数量 的 人 通过 一 系列 诚实 应 用 这 个 协议 可 以 发 现 他 们 年 龄 的 顺序 ， 并 
且 疫 有 一 个 参与 者 能 够 得 知 另 一 个 参与 者 的 年 龄 。 


6.2.3 ”协议 3 


Alice 喜 欢 用 玩具 能 做 一 些 古 怪 的 事 ，Bob 则 沉迷 于 大 理 石 昌 子 。 他 
们 都 对 他 们 的 韵 好 特别 难为 情 ， 但 却 想 找 一 个 有 共同 兽 好 的 伴 倡 。 


保密 的 多 方 计算 约会 服务 (Secure Multiparty Computation Dating 
Service) 为 这 样 的 人 设计 了 一 个 协议 。 我 们 已 将 一 个 令 人 惊奇 的 癖好 编 

， 从 “ 土 豚 ” 到 “zoot 套 装 *”。Alice 和 和 Bob 彼此 分 开 ， 通 过 一 个 调制 解 调 
器 相连 ， 他 们 便 能 参与 一 个 保密 的 多 方 协议 。 他 们 可 以 一 起 确定 他 们 是 
人 否 有 同样 的 岂 好 。 如 果 有 的 话 ， 他 们 可 以 期 望 建立 一 种 终生 的 幸福 关 
系 ; 如 果 没 有 ， 则 可 以 彼此 分 开 ， 而 且 他 们 的 特殊 个 人 信息 仍 保持 机 
密 。 没 有 人 ， 甚 至 是 保密 多 方 计 算 约 会 服务 也 不 知道 








下 面 是 该 协议 的 工作 过 程 : 


C1) 使 用 一 个 单 问 函数 ，Alice 将 她 的 癖好 散 列 得 到 一 个 7 位 数字 的 


(2) Alice 用 这 7 位 数字 作为 一 个 电话 号 码 ， 拨 号 ， 给 Bob 留 下 一 条 
消息 。 如 果 没 有 人 回答 或 电话 号 码 无 效 ，Alice 给 这 个 电话 号 码 申请 一 个 
单 各 函数 直到 她 找到 一 个 与 她 有 相同 癖好 的 人 。 


(3) Alice 告 诉 Bob 她 为 她 的 兽 好 申请 一 个 单 同 函数 的 次 数 。 


(4) Bob 花 了 与 Alice 相 同 的 次 数 散 列 他 的 闻 好 。 他 也 用 这 7 位 数字 
作为 电话 号 码 ， 询 问 其 他 人 是 人 否 留 给 他 消息 。 


注意 Bob 能 进行 选择 明文 攻击 。 他 可 以 散 列 一 般 的 壮 好 并 拨 所 得 的 
电话 号 码 ， 查 找 给 他 的 消息 。 只 有 在 不 可 能 得 到 足够 多 的 明文 消息 的 情 
况 下 这 个 协议 才能 真正 执行 。 





还 有 一 个 数学 协议 ， 类 似 于 协议 2。Alice 知 道 a，Bob 知 道 b， 并 且 
他 们 在 一 起 可 以 确定 是 否 a=b， 但 Bob 不 知道 关于 a 的 任何 事 且 Alice 不 知 
道 关 于 b 的 任何 事 。 详 细 情 况 请 参见 23.14 节 。 


6.2.4 协议 4 


对 保密 的 多 方 计算 存在 另 一 个 问题 “1373] : 这 里 有 一 个 七 方 委员 
会 ， 他 们 定期 开会 对 东 些 问题 秘密 表决 。 (不 错 ， 他 们 秘密 地 统治 着 世 
界 一 一 个 要 把 我 告诉 你 的 事 告 诉 任何 人 。) 所 有 委员 会 成 员 可 以 投票 表 
决 yes 或 no。 另 外 ， 有 两 方 有 权利 投 超级 选票 : S-yes 和 S-no。 但 他 们 不 
一 定 要 投 超级 选票 ， 如 果 他 们 愿意 ， 也 可 以 投 一 般 选 票 。 如 果 没 有 人 投 
超级 选票 ， 则 选票 的 多 数 决 定 这 个 问题 ; 在 一 张 或 两 张 结 果 相 同 的 超级 
选票 情况 下 ， 上 所 有 普通 选票 被 忽略; 在 两 张 结果 相反 的 超级 选 紧 情 况 
下 ， 普 通 选票 的 多 数 诀 定 这 一 问题 。 我 们 需要 一 个 能 安全 执行 这 类 投票 


的 协议 。 











下 面 两 个 例子 将 阐述 投票 过 程 。 假 设 有 5 个 普通 投票 者 : N1 ~N; ; 
两 个 超级 投票 者 : S; FS, 。 下 面 是 关于 问题 1 的 选票 : 





S; S, N, N: N; N, N; 


S-yes no no no no yes yes 


在 这 个 例子 中 唯一 起 作用 的 选票 是 $1 的 票 并 且 结 果 是 yes。 





下 面 是 关于 问题 2 的 选票 : 


Sı S, N; N, N; N, N; 


S-yes S-no no no no yes yes 


这 里 两 张 超级 选 紧 抵消 ， 普 通 选票 多 数 的 no 决定 这 一 问题 。 











如 采 是 超级 选 紧 还 是 普通 选票 起 决定 性 作用 这 一 点 无 需 隐 藏 ， 则 这 
是 一 个 安全 投票 协议 的 简单 应 用 ;如 果 这 一 点 很 重要 ， 则 需要 一 个 更 复 
杂 的 保密 多 方 计 算 协 议 。 





这 种 投票 可 能 会 发 生 在 现实 生活 中 。 它 可 以 是 一 个 公司 组 织 结构 的 
部 分 ， 这 里 东 些 人 比 其 他 人 有 更 大 的 权力 ， 或 者 它 是 联合 国 做 法 的 一 
部 分 ， 其 中 茶 些 国家 比 其 他 国家 有 更 大 的 权力 。 





| 





= 


6.2.5 ”无 条 件 多 方 安全 协议 


这 只 是 一 般 定 理 的 一 种 简单 情况 : 任何 n 个 输入 的 函数 可 以 被 n 个 人 


用 这 种 办 法 计算 ， 使 得 所 有 人 都 知道 函数 的 值 ， 但 任何 少 于 m2 个 人 的 
一 群 人 都 得 不 到 除了 他 们 自己 的 输入 和 输出 信息 值 之 外 的 任何 附加 信 
A. AW L136, 334, 1288. 621] 。 


6.2.6 ”保密 电路 计算 


Alice 的 输入 为 a，Bob 的 输入 为 b。 他 们 和 希望 一 起 计算 一 些 普通 函数 
f(a, b) ， 这 样 使 得 Alice 不 知道 Bob 的 输入 情况 ，Bob 也 不 知道 关于 
Alice 的 输入 情况 。 保 密 多 方 计 算 的 一 般 性 问题 也 称 为 保密 电路 计算 
(secure circuit evaluation) 。 这 里 ，Alice 和 Bob 可 以 创造 一 个 任意 的 布 
尔 电路 ， 这 个 电路 接收 来 自 Alice 和 Bob 的 输入 并 产生 一 个 输出 。 保 密 电 
路 计算 是 一 个 完成 下 面 三 件 事 的 协议 : 


(1) Alice 可 以 键入 她 的 输入 且 Bob 不 能 知道 它 
(2) Bob 可 以 键入 他 的 输入 且 Alice 不 能 知道 它 


(3) Alice 和 Bob 都 能 计算 这 个 输出 ， 双 方 都 确信 输出 是 正确 的 且 
没有 一 方 能 审改 它 。 


保密 电路 计算 的 详细 情况 参见 文献 [831] 。 


6.3 匿名 消息 广播 


你 无 法 同一 群 密码 员 一 起 出 去 进餐 而 不 引起 争吵 。 在 文献 L321] 


H, David Chaum 提 出 了 密码 员 进 餐 问 题 : 





三 位 密码 员 正 坐 在 他 们 最 喜欢 的 三 星 级 餐馆 准备 进餐 。 侍 者 通知 他 
们 这 是 Maitredh6tel 安排 的 且 需 匿名 支付 账单 。 其 中 一 个 密码 员 可 能 
正在 付 账 ， 或 者 可 能 已 由 NSA 付 过 了 。 这 三 位 密码 员 都 章 重 彼此 匿名 付 
账 的 权力 ， 但 他 们 要 知道 是 不 是 NSA 在 付 账 。 


这 三 个 密码 员 分 别 叫 Alice、Bob 和 Carol， 他 们 怎样 才能 确定 他 们 之 
中 的 一 个 正在 付 账 同时 又 要 保护 付 账 者 的 匿名 呢 ? 


Chaum 接 着 解决 了 这 个 问题 : 





每 个 密码 员 在 他 的 沫 单 后 ， 在 他 和 他 右边 的 密码 员 之 间 抛 掷 一 枚 公 
平 的 硬币 ， 以 致 只 有 他 们 两 个 能 看 到 结果 。 然 后 每 个 密码 员 都 大 声 说 他 
能 看 到 的 两 枚 梗 币 《〈 他 抛 的 一 个 和 他 左手 邻居 抛 的 那个 ) ， 落 下 来 是 同 
一 面 还 是 不 同 的 一 面 。 如 果 有 一 个 密码 员 付 账 ， 他 就 说 所 看 到 的 相反 的 
结果 。 在 架子 上 说 不 同 的 人 数 为 奇数 表明 有 一 个 密码 员 在 付 账 ， 不 同 为 
俩 数 表明 NSA 在 付 账 〈 假 设 晚餐 只 付 一 次 账 )》。 还 有 ， 如 末 一 个 密码 员 
在 付 账 ， 另 两 个 人 都 不 能 从 所 说 的 话 中 得 知 关 于 那个 密码 员 付 账 的 任何 





为 了 明白 这 是 如 何 起 作用 的 。 不 妨 想 象 Alice 试 图 弄 清 其 他 哪个 密码 
员 为 晚餐 付 了 账 〈 假 设 既 不 是 她 也 不 是 NSA 付 的 ) 。 如 果 她 看 见 两 个 不 
同 的 硬币 ， 那 么 另外 两 个 密码 员 Bob 和 Carol 或 者 都 说 “相同 ”， 或 者 都 
说 “不 同 ”( 记 住 ， 密 码 员 说 “不 同 ” 的 次 数 为 奇数 ， 表 明 他 们 中 有 一 个 付 
了 账 ) 。 如 果 都 说 “不 同 *， 那 么 付 账 者 是 最 靠近 与 隐藏 的 硬币 〈 指 Bob 
与 Carol 之 间 的 人 硬币) 相同 的 那 枚 硬币 的 密码 员 ;， 如 有 果 都 说 “相同 ”， 那 么 
付 账 者 是 最 靠近 与 隐藏 的 硬币 不 同 的 那 枚 硬币 的 密码 员 。 但 是 ， 如 宁 
Alice 看 见 两 枚 硬币 是 相同 的 ， 那 么 或 者 Bob 说 “相同 ”而 Carol 说 “不 同 ”， 
或 者 Bob 说 “不 同 ? 而 Carol 说 “相同 ”。 如 果 隐 藏 的 硬币 和 她 看 到 的 两 枚 硬 
币 相 同 ， 那 么 说 “不 同 ” 的 密码 员 是 付 账 者 ， 如 果 隐 藏 的 硬币 和 她 看 到 的 
两 枚 硬币 不 同 ， 那 么 说 “相同 ”的 密码 员 是 付 账 者 。 在 所 有 这 些 情况 中 ， 
Alice 都 需要 知道 Bob 和 Carol 抛 掷 便 币 的 结果 以 决定 是 他 们 中 的 哪 一 位 付 
的 账 。 























这 个 协议 可 以 推广 到 任意 数量 的 密码 员 : 他 们 全 都 坐 成 一 圈 并 在 他 
们 中 抛掷 硬币 。 甚 至 两 个 密码 员 也 能 执行 这 个 协议 ， 当 然 他 们 知道 谁 付 
的 账 ， 但 是 观看 这 个 协议 的 人 只 知道 是 一 个 密码 员 付 的 账 还 是 NSA 付 的 
账 ， 他 们 不 会 知道 是 哪个 密码 员 付 的 账 。 





这 个 协议 的 应 用 远 远 超出 了 围 坐 在 一 家 和 餐 果 的 范围 。 这 是 一 个 无 条 
件 的 发 送 者 和 接收 者 不 可 追踪 性 Cunconditional sender and recipient 


untraceability) 的 例子 。 在 网 络 上 的 一 群 用 户 可 以 用 这 个 协议 发 送 匿名 


消息 。 
(1) 用户 把 他 们 目 己 排 成 一 个 逻辑 圆圈 。 


C2) 在 一 定 的 时 间 间 隅 内 ， 相 邻 的 每 对 用 户 在 他 们 之 间 抛 掷 便 
币 ， 使 用 一 些 公平 的 硬币 抛掷 协议 防止 禄 听 者 。 








(3) 在 每 次 抛掷 之 后 每 个 用 户 说 “相同 ?或 “不 同 ”。 


如 果 Alice 希 望 广播 一 条 消息 ， 那 么 她 可 以 简单 地 从 用 二 进 制 表示 的 
消息 1 开始 颠倒 陈述 。 例 如 ， 如 果 消息 是 "1001"， 则 她 依次 颠倒 陈述 ， 
说 出 真情 ， 说 出 真情 然后 再 颠倒 陈述 。 假 设 她 抛掷 的 结果 是 “不 
a. HAI. ANIA”. “相同 *， 则 她 将 说 “相同 "、“ 相 同 ““ 相 
同 AEA. 


如 果 Alice 发 现 协议 的 所 有 结果 都 和 她 要 发 送 的 消息 不 匹配 ， 那 么 她 
知道 其 他 人 同时 也 正在 试图 有 发送 一 条 消息 。 然 后 她 停止 发 送 消 轧 ， 并 在 
试图 再 次 发 送 前 等 待 一 个 随机 的 轮 次 。 虽 然 人 们 必须 基于 这 个 网 络 上 消 


恩 通 信 的 数量 算出 准确 参数 ， 但 这 个 想法 应 该 是 清楚 的 。 








为 了 让 这 些 事 更 令 人 感 兴趣 ， 可 以 用 其 他 用 户 的 公开 密 钥 加 密 。 然 
后 ， 当 每 个 人 都 收 到 这 个 消息 〈 这 个 协议 的 真正 实现 应 该 加 上 一 种 标准 
的 消息 开始 和 消息 结束 字符 串 ) 时 ， 只 有 想 要 接收 的 人 能 解密 并 读 出 这 


条 消息 ， 而 其 他 人 都 不 知道 是 谁 发 送 的 ， 也 不 知道 谁 能 读 它 。 虽 然 信 息 
流量 分 析 可 以 跟踪 并 编辑 人 们 通信 的 模式 ， 即 使 这 些 消息 本 里 被 加 密 ， 
但 对 此 也 无 能 为 力 。 


代 瞪 在 相 邻 方 之 间 抛 掷 硬 币 的 一 种 方法 是 保留 一 个 随机 位 的 共同 文 
件 。 他 们 也 许可 以 把 它们 放 在 一 个 CD-ROM 上， 或 者 这 一 对 中 一 方 可 以 
产生 一 扒 随 机 位 并 把 它们 送 给 另 一 方 〈 当 然 是 加 密 的 ) 。 男 一 种 办 法 
是 ， 他 们 可 以 在 他 们 之 间 商 定 一 个 保密 的 伪 随 机 数 产 生 器 ， 并 且 他 们 每 
一 个 都 能 为 协议 产生 相同 的 伪 随 机 位 字符 串 。 





这 个 协议 的 一 个 问题 是 ， 虽 然 一 个 恶意 的 参与 者 不 能 读 出 消 恩 ， 但 
他 能 通过 在 第 (3) 步 中 说 谎 来 破坏 系统 。 修 改 先前 的 协议 可 以 检测 破 
坏 C1578 1242] ， 这 个 问题 称 为 "在 迪斯科 舞厅 里 吃饭 的 密码 员 ”。 
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MeN CET Fe E FF AL A REMERA EIE E 
偷 走 。 文 票 和 信用 卡 大 大 减少 了 社会 上 实际 现金 的 流通 量 ， 但 根本 不 可 
能 完全 取消 现金 。 这 永远 不 会 友 生 ， 毒 品 贩子 和 政治 家 永远 不 会 赞成 
它 。 文 票 和 信用 卡 具 有 审计 线索 ， 你 不 可 能 隐瞒 你 把 钱 给 了 谁 。 





另 一 方面 ， 文 昧 和 信用 卡 使 别人 可 以 侵犯 你 的 隐私 ， 其 程序 是 以 前 
想象 不 到 的 。 你 决 不 会 同意 警察 跟随 你 一 生 ， 但 是 警察 可 以 但 看 你 的 金 
融 交 易 。 他 们 能 知道 你 在 哪里 买 汽 油 ， 在 哪里 买 食 物 ， 你 和 谁 通电 话 
一 一 所 有 这 一 切 都 逃 不 过 他 们 的 计算 机 终端 。 为 了 保护 隐私 ， 人 们 需要 
有 一 种 方法 来 保护 他 们 的 匿名 权 。 








幸运 的 是 ， 有 一 个 复 和 杂 协 议 容许 消息 可 以 确证 ， 但 不 可 跟踪 。 说 客 
Alice 能 把 数字 现金 〈digital cash) 转移 给 参议 员 Bob， 并 使 得 新 闻 记 者 
Eve 不 知道 Alice 的 身份 ，Bob 然 后 可 把 这 笔 电子 货币 存 入 他 的 账 尸 ， 即 
使 是 银行 也 不 知道 Alice 是 谁 。 但 是 如 果 Alice 试 图 以 用 来 贿赂 Bob 的 同一 
笔 数 字 现 金 来 买 可 卡 因 ， 那 么 她 会 被 银行 检测 出 来 。 如 果 Bob 试 图 把 同 
一 笔 数字 现金 存 入 两 个 不 同 账户 ， 他 也 会 被 发 现 一 一 但 Alice 仍 保持 匿 
名 。 为 了 把 它 与 带 审计 追踪 的 数字 现金 如 信用 卡 相 区 别 ， 有 时 把 它 叫 做 
匿名 数字 现金 (anonymous digital cash) 。 这 类 东西 有 着 很 大 的 社会 需 














求 。 随 着 网 上 商业 交易 的 发 展 ， 商 业 上 日 益 需 要 更 多 称 为 网 络 隐 私 和 网 
络 匿名 的 东西 。《 人 们 有 很 好 的 理由 不 愿意 通过 互联 网 传送 他 们 的 信用 
卡号 。) 男 一 方面 ， 银 行 和 政府 似乎 不 愿 放 弃 目 前 银行 系统 提供 的 审计 
人 奶 踩 控制。 尽管 如 此 ， 他 们 不 得 不 放弃 。 有 些 可 信赖 的 机 构 愿 意 将 数字 
现金 转换 为 真正 的 现金 。 


数字 现金 协议 非常 复杂 。 下 面 我 们 将 构建 一 个 ， 一 步 一 步 来 。 较 正 
式 的 细节 ， 参 见 文献 [318、339、325、335、340] 。 要 认识 到 这 只 是 
一 个 数字 现金 协议 ， 还 有 其 他 的 。 


6.4.1 协议 1 


前 面 几 个 协议 是 密码 协议 的 具体 应 用 。 这 第 一 个 协议 是 一 个 有 关 匿 
名 汇票 的 简单 化 的 物理 协议 : 


(1) Alice 准 备 了 100 张 1000 美 元 的 匿名 汇票 。 





(2) Alice 把 每 张 汇 票 和 一 张 复写 纸 放 进 100 个 不 同 信 封 内 ， 她 把 这 
些 全 部 交 给 银行 


(3) 银行 开 尼 99 个 信封 并 确认 每 个 都 是 一 张 1000 美 元 的 汇票 。 





(4) 银行 在 余下 的 一 个 未 开局 的 信封 上 签名 ， 签 名 通过 复写 纸 印 
到 汇票 上 。 银 行 把 这 个 未 开局 的 信封 交还 给 Alice， 并 从 她 的 账户 上 扣除 











1000 美 元 。 


(5) Alice 打 开 信封 并 在 一 个 商人 处 花 掉 了 这 张 汇 票 。 


C6) 商人 检查 银行 的 签名 以 确信 这 张 汇 票 是 合法 的 。 


(7) 商人 拿 着 这 张 汇票 去 银行 。 


(8) 银行 验证 它 的 签名 并 把 1000 美 元 划 入 这 个 商人 的 账户 。 


这 个 协议 能 起 作用 。 银 行 从 未 看 到 它 签 的 那 张 汇 票 ， 因 此 当 这 个 商 
人 把 它 带 到 银行 时 ， 银 行 不 知道 它 是 Alice 的 。 虽 然 如 此 ， 因 为 这 个 签名 
的 缘故 银行 还 是 相信 它 有 效 。 银 行 相信 未 开启 的 汇票 是 1000 美 元 的 〈 既 
不 是 100000 美 元 也 不 是 100000000 美 元 ) ， 那 是 因为 采用 分 割 选 择 协 议 
《参见 5.1 节 ) 的 缘故 。 它 验证 了 其 他 99 个 信封 ， 故 Alice 仅 有 1% 的 机 会 
欺骗 银行 。 当 然 ， 银 行 对 于 欺诈 将 进行 足够 狠 的 惩罚 以 致 它 与 机 会 相 比 
是 不 值 的 。 如 果 银 行 只 是 拒绝 在 最 后 一 张 支票 上 签名 (如 果 Alice 被 发 现 
在 欺骗 ) 而 不 惩罚 Alice 的 话 ， 她 将 继续 尝试 直到 她 碰 上 大 运 。 坐 牢 是 一 
种 较 好 的 威慑 。 





6.4.2 ”协议 2 


前 一 个 协议 防止 了 Alice 在 一 张 汇 票 上 写 入 比 她 宣称 的 更 多 的 钱 ， 但 
它 没 有 防止 Alice 将 这 张 汇 票 照 相 复 制 并 两 次 花 挤 它 。 这 叫做 双重 人 花费 问 


题 (double spending problem) ， 为 了 解决 这 个 问题 ， 需 要 一 个 复杂 的 


协 议 : 








(1) Alice 准 备 100 张 1000 美 元 的 匿名 汇票 。 在 每 一 张 汇票 上 包含 了 
一 个 不 同 的 唯一 的 随机 字符 串 ， 字 符 串 长 到 足以 使 男 一 个 人 也 用 它 的 机 


会 微乎其微 。 





(2) Alice 把 每 张 汇票 和 一 张 复写 纸 一 起 装 入 100 个 不 同 的 信封 ， 并 
把 它们 全 部 交 给 银行 。 


(3) 银行 开 尼 99 个 信封 并 确认 每 张 汇 票 都 是 1000 美 元 ， 而 且 所 有 
随机 唯一 字符 串 都 不 同 。 





(4) 银行 在 余下 的 一 个 未 开局 的 信封 上 签名 ， 签 名 通过 复写 纸 印 
到 汇票 上 上。 银行 把 这 个 未 开启 的 信封 交 回 给 Alice， 并 从 她 的 账户 上 扣除 
1000 美 元 。 








(5) Alice 打 开 信 封 并 在 一 个 商人 人 处 花 挤 这 张 汇票 。 


(6) 商人 检查 银行 的 签名 以 确信 汇票 是 合法 的 。 


(7) 了 商人 拿 着 这 张 汇 票 来 到 银行 。 


(8) 银行 验证 它 的 签名 ， 并 检查 它 的 数据 库 以 确信 有 相同 的 唯一 
字符 串 的 汇票 先前 没有 被 存 过 。 如 末 没 有 ， 银 行 把 1000 美 元 划 到 这 个 商 





人 的 账户 上 。 银 行 在 数据 库 中 记录 这 个 随机 字符 串 。 
(9) 如 果 筷 先前 被 存 过 ， 银 行 不 接受 这 张 汇 票 。 
现在 ， 如 果 Alice 试 图 使 用 这 张 汇票 的 复制 件 ， 或 者 如 果 这 个 商人 试 


图 用 这 张 汇 昧 的 复制 件 存 球 ， 银 行 部 会 知道 。 


6.4.3 ”协议 3 





前 一 个 协议 保护 了 银行 不 受 欺 骗 者 的 欺 骄 ， 但 它 没 有 识别 出 这 些 欺 
骗 者 。 银 行 不 知道 是 买 这 张 汇票 的 人 【银行 不 知道 是 Alice〉 试 图 欺骗 这 
个 商人 还 是 这 个 商人 试图 欺骗 银行 。 这 个 协议 纠正 如 下 : 








(1) Alice 准 备 了 100 张 1000 美 元 的 匿名 汇票 。 在 每 一 张 汇 票 上 包含 
了 一 个 不 同 的 唯一 的 随机 字符 串 ， 字 符 串 长 到 足以 使 另 一 个 人 也 用 它 的 
机 会 微乎其微 。 


(2) Alice 把 每 张 汇 票 和 一 张 复写 纸 一 起 装 入 100 个 不 同 的 信封 ， 并 
把 它们 全 部 交 给 银行 。 


(3) 银行 开 司 99 个 信封 并 确认 每 张 汇 票 都 是 1000 美 元 ， 而 且 所 有 
随机 字符 串 都 不 同 。 





(4) 银行 在 余下 的 一 个 未 开局 的 信封 上 签名 ， 签 名 通过 复写 纸 印 








到 汇票 上 上。 银行 把 这 个 未 开启 的 信封 交 回 给 Alice， 并 从 她 的 账户 上 扣除 
1000 美 元 。 


(5) Alice 打 开 信封 并 在 商人 处 花 掉 了 这 张 汇 票 。 


(6) 商人 检查 银行 的 签名 以 确信 汇票 是 合法 的 。 


(7) 商人 要 求 Alice 在 汇票 上 写 一 个 随机 识别 字符 串 。 


(8) Alice 同 意 。 








(9) 这 个 商人 拿 着 这 张 汇 票 来 到 银行 。 


(10) 银行 验证 签名 并 检查 它 的 数据 库 以 确信 具有 相同 唯一 字符 串 
的 汇票 先前 没有 被 存 过 。 如 果 没 有 ， 银 行 把 1000 美 元 划 归 到 商人 的 账户 
上 。 银 行 在 数据 库 中 记 下 这 个 唯一 字符 串 和 识别 字符 串 。 





C11) 如 果 这 个 唯一 字符 串 在 数据 库 中 ， 银 行 拒 收 这 张 汇 票 。 接 
着 ， 它 将 汇票 上 的 识别 字符 串 同 存储 在 数据 库 中 的 识别 字符 串 比 较 。 如 
果 相 同 ， 银 行 知道 商人 复制 了 这 张 汇票 ， 如 果 不 同 ， 银 行 知道 买 这 张 汇 
票 的 人 复制 了 它 。 





这 个 协议 假设 一 旦 Alice 在 汇票 上 写 上 这 个 识别 字符 串 ， 那 个 商人 融 
不 能 改变 它 。 汇 票 可 能 有 一 系列 小 方 格 ， 丙 人 会 要 求 Alice 用 X 或 O 填 充 
这 些小 方 格 。 汇 票 可 能 是 用 如 果 要 抹 去 束 斯 反 的 纸 做 成 。 





由 于 商人 和 银行 之 间 的 交互 发 生 在 Alice 花 钱 之 后 ， 所 以 商人 可 能 和 
一 张 空 头 汇票 牵连 在 一 起 。 这 个 协议 的 具体 实现 可 以 要 求 Alice 在 商人 与 
银行 交互 期 间 在 柜台 前 等 者 ， 很 像 是 今天 的 信用 卡 交 易 操 作 的 方式 。 





Alice 可 能 会 试图 陷害 这 个 商人 。 她 可 以 第 二 次 花 一 张 汇票 的 复制 ， 
在 第 (7) 步 中 给 一 个 同样 的 识别 字符 串 。 除 非 这 个 商人 保持 一 个 已 收 
到 汇聚 的 数据 库 ， 否 则 他 将 遭 到 欺骗 。 下 一 个 协议 将 消除 这 个 问题 。 


6.4.4 协议 4 


WRUH ce SIS Ak SS TA RITME A ABS A 
谁 。 为 了 做 到 这 一 点 ， 要 求 我 们 从 实际 模拟 中 出 来 进入 密码 的 世界 。 


秘密 分 割 技术 可 以 用 来 在 数字 汇票 中 隐藏 Alice 的 名 字 。 





(1) Alice 对 给 定数 量 的 美元 准备 n 张 匿名 汇票 。 


每 张 汇 票 都 包含 了 一 个 不 同 的 随机 唯一 字符 串 X，X 足 够 长 ， 足 以 
使 有 两 个 字符 串 相 同 的 机 会 微乎其微 。 


在 每 张 汇票 上 也 有 n 对 鉴别 位 字符 串 11 | bo oo he BORO RES 
对 中 的 每 一 个 都 是 按 如 下 方式 产生 的 ，Alice 创 造 一 个 给 出 她 的 名 字 、 地 
址 以 及 任何 其 他 银行 希望 见 到 的 鉴别 信息 的 字符 串 。 接 着 ， 她 用 秘密 分 
割 协议 〈 参 见 3.6 节 ) 将 它 分 成 两 部 分 。 然 后 ， 她 使 用 一 种 位 承诺 协议 








传送 每 一 部 分 。 


A, Iaz 和 Ia7R 。 每 一 部 分 是 一 个 可 以 要 求 Alice 打 开 的 位 承诺 分 
组 ， 其 正确 打开 与 否 也 可 以 立即 验证 。 任 何 对 ， 如 IJ 和 Ia ， 但 不 是 
I37 Mher 都 会 揭示 Alice 的 身份 。 


每 张 汇票 看 起 来 像 这 样 : 

总 数 

唯一 字符 串 : X 

鉴别 字符 串 : = p> bp) 


pe Pe 





(2) Alice 用 盲人 签名 协议 隐蔽 所 有 n 张 汇票 。 她 把 它们 全 部 给 银行 。 


(3) 银行 要 求 Alice 恢 复 随机 的 n-1 张 汇票 并 确认 它们 都 是 合格 的 。 
银行 检查 总 数 、 唯 一 字符 串 并 要 求 Alice 出 示 所 有 鉴别 字符 串 。 





(4) 如 果 银 行 对 Alice 没 有 任何 进行 欺骗 的 企图 感到 满意 ， 则 在 余 
下 的 一 张 隐蔽 汇票 上 签名 。 银 行 把 这 张 隐蔽 汇票 交 回 Alice， 并 从 她 的 账 


户 上 扣除 这 笔 钱 。 
(5) Alice 恢 复 这 张 汇票 ， 并 在 一 个 商人 那里 花 掉 它 。 
(6) 商人 验证 银行 的 签名 以 确信 这 张 汇票 是 合法 的 。 


(7) 商人 要 求 Alice 随 机 揭示 汇票 上 每 个 鉴别 字符 串 的 左 半 或 厂 
半 。 实 际 上 ， 商 人 给 Alice 一 个 随机 的 n 位 选择 字符 串 (select string) bj 
，b， ，...，b, 。Alice 根 据 b; 是 0 还 是 1 公开 1; 的 左 半 或 右 半 。 











(8) Alice 同 意 。 
(9) 商人 拿 着 这 张 汇票 来 到 银行 。 


(10) 银行 验证 这 个 签名 并 检查 它 的 数据 以 确信 有 相同 唯一 字符 串 
的 汇票 先前 没有 被 存 过 。 如 果 没 有 ， 银 行 把 这 笔 钱 划 到 商人 的 账 上 。 银 
行 在 它 的 数据 库 中 记 下 这 个 唯一 字符 串 和 所 有 识别 信息 。 








(11〉 如 果 这 个 唯一 字符 串 在 数据 库 中 ， 银 行 就 拒 收 汇 际 。 接 着 ， 
它 把 汇票 上 的 识别 字符 串 同 它 数据 库 中 存储 的 相 比 较 。 如 果 相 同 ， 银 行 
知道 商人 复制 了 汇票 ， 如 果 不 同 ， 银 行 知 道 买 汇票 的 人 复制 了 它 。 由 于 
接收 这 张 汇票 的 第 二 个 商人 交 给 Alice 一 个 和 第 一 个 商人 不 同 的 选择 字符 
串 ， 银 行 找 出 一 个 位 的 位 置 ， 在 这 个 位 的 位 置 上 ， 一 个 商人 让 Alice 公 开 
了 左 半 ， 而 另 一 个 商人 让 Alice 公 开 了 右 半 。 银 行 异 或 这 两 半 以 揭露 
Alice 的 身份 。 














这 是 一 个 相当 迷人 的 协议 ， 故 我 们 从 不 同 角 度 来 看 看 它 。 





Alice 能 进行 欺骗 吗 ? 她 的 数字 汇票 不 过 是 一 个 位 字符 串 ， 所 以 可 以 
复制 它 。 第 一 次 伦 它 不 会 有 问题 ， 她 只 再 完成 协议 ， 则 一 切 进展 顺利 。 
商人 在 第 (7) 步 中 给 她 一 个 随机 的 n 位 选择 字符 串 ， 并 且 Alice 在 第 
(8) 步 中 将 公开 I 的 左 半 或 右 半 。 在 第 (10) 步 中 ， 银 行将 记录 所 有 
这 些 数据 ， 连 同 汇票 的 唯一 字符 串 。 














当 她 试图 第 二 次 使 用 同一 张 数 字汇 票 时 ， 丙 人 《同一 个 商人 或 另 一 
商人 ) 将 在 第 (7) 步 中 给 她 一 个 不 同 的 随机 选择 字符 串 。Alice 必 须 在 
第 (8) 步 中 同意 ， 如 果 不 这 样 做 势必 立即 提醒 商人 有 些 事 值得 怀疑 。 
现在 ， 当 这 个 商人 在 第 〈10) 步 中 将 汇票 带 到 银行 时 ， 银 行 会 立即 发 现 
带 相同 唯一 字符 串 的 汇票 已 经 存 过 。 银 行 接着 比较 鉴别 字符 串 中 所 有 公 
开 的 部 分 。 两 个 随机 选择 字符 串 相 同 的 机 会 是 122 ， 在 下 一 个 冰期 前 是 
不 可 能 发 生 的 。 现 在 ， 银 行 找 出 这 样 一 对 ， 其 中 一 半 第 一 次 被 公开 ， 忆 
一 半 第 二 次 被 公开 。 它 把 这 两 半 开 或， 马上 得 到 Alice 的 名 字 ， 于 是 银行 
知道 谁 试图 两 次 伦 这 张 汇票 。 




















应 当 指 出 ， 这 个 协议 不 能 让 Alice 不 进行 欺骗 ， 但 它 几 乎 能 肯定 地 检 
测 她 的 欺 纹 。 如 果 Alice 进 行 欺骗， 她 不 可 能 不 暴露 身份 。 她 不 可 能 改变 
唯一 字符 吕 或 识别 字符 串 ， 人 否则 银行 的 签名 将 不 再 有 效 。 商 人 将 在 第 
(6) 步 中 马上 意识 到 这 点 。 





Alice 可 能 试图 偷 一 张 空头 汇票 骗 过 银行 ， 这 张 汇票 上 的 识别 字符 串 
不 会 泄露 她 的 名 字 ， 或 者 最 好 是 一 张 其 识别 字符 串 泄露 其 他 人 名 字 的 汇 
票 。 她 在 第 (3) 步 中 进行 这 种 欺诈 骗 过 银行 的 机 会 是 Wn。 这 并 非 不 可 
能 ， 但 如 果 惩 罚 足 够 严厉 的 话 ，Alice 就 不 敢 以 身 试 法 。 或 者 ， 你 可 以 增 
加 Alice 在 第 (1) 步 中 制作 的 多 余 汇 票 的 数目 。 








这 个 商人 能 进行 欺骗 吗 ? 他 的 机 会 甚至 更 小 。 他 不 能 将 这 张 汇 票 存 
两 次 ， 银 行将 会 发 现 选择 字符 串 被 重复 使 用 。 他 不 能 捏造 以 陷害 Alice， 
只 有 Alice 才 能 打开 任意 的 识别 字符 串 。 





甚至 Alice 和 商人 合谋 也 不 能 欺骗 银行 。 一 旦 银行 在 珊 有 唯一 字符 串 
的 汇票 上 签名 ， 银 行 就 确信 只 能 使 用 这 张 汇 票 一 次 。 


银行 又 怎样 呢 ? 它 能 不 能 知道 它 从 商人 那儿 收 到 的 汇票 是 它 为 Alice 
签 的 那 张 呢 ? 在 第 (2) ~ (5) 步 中 的 盲 签名 协议 保护 了 Alice。 银 行 无 
法 做 出 判断 ， 即 使 它 保 留 了 每 次 交易 的 完整 记录 。 说 得 更 重 些 ， 银 行 和 
商人 在 一 起 也 无 法 知道 Alice 是 谁 。Alice 可 以 走 进 商店 并 且 完 全 匿名 地 
购买 东西 。 
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账户 。 银 行将 会 接受 ， 甚 至 更 糟 的 是 ， 当 商人 试图 存 入 数字 现金 时 他 会 
被 认为 是 一 个 其 戏 者 。 如 果 Eve 偷 到 数字 现金 并 在 Alice 之 前 人 花 摊 它 ， 那 


么 Alice 会 被 认为 是 一 个 欺 驴 者 。 没 有 办 法 防止 这 种 情况 ， 它 是 现金 匿名 
的 直接 后 果 。 


这 个 协议 是 介 于 被 仲裁 协议 和 目 我 执行 协议 之 间 的 协议 。Alice 和 商 
人 都 相信 银行 能 兑现 汇票 ， 但 Alice 不 必 信任 知道 她 购物 的 银行 。 


6.4.5 BF Hse All rey WY ALE 





数字 现金 也 有 它 不 利 的 一 面 。 有 时 人 们 并 不 需要 那么 多 的 隐私 。 看 
看 Alice 进 行 的 高 明 的 犯罪 (19751 : 


(1) Alice 绑 架 了 一 个 婴儿 。 


(2) Alice 准 备 了 10000 张 每 张 1000 美 元 的 匿名 汇票 (或 者 多 到 她 想 
要 的 那么 多 ) 。 


(3) Alice 用 讶 签名 协议 隐蔽 所 有 10000 张 汇票 ， 她 把 它们 送 给 当局 
并 威胁 除非 按 下 列 指示 去 做 ， 否 则 要 杀 死 屡 儿 : 


Ca) 让 银行 签 所 有 10000 张 汇票 。 
(b) 在 报纸 上 公布 结果 。 


(4) 当局 同意 。 


(5) Alice 买 了 一 张 报 纸 ， 恢 复 那 些 汇票 ， 并 开始 人 花 它 们 。 当 局 没 
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(6) Alice 放 了 这 个 婴儿 。 


注意 这 种 情况 比 任何 涉及 实际 特征 的 情况 〈 如 现金 ) AREA. Dl 
为 没有 物理 接触 ， 警 察 很 难 有 机 会 抓 住 绑 架 者 。 


不 过 ， 话 虽 如 此 ， 数 字 现 金 对 犯罪 分 子 来 说 也 算 不 上 理想 。 问 题 是 
匿名 只 有 一 种 方式 奏效 : 消费 者 是 匿名 的 而 商人 人 不是。 而且， 商人 不 能 
隐藏 他 收 到 钱 的 事实 。 数 字 现 金 使 政府 容易 知道 你 挣 了 多 少 钱 ， 但 不 可 

能 知道 你 把 钱 花 在 什么 上 。 








6.4.6 ”实用 化 的 数字 现金 
一 家 从 兰 公司 DigiCash 拥 有 数字 现金 的 大 部 分 专利 并 已 经 在 实际 产 


品 中 实现 了 数字 现金 协议 。 任 何 感 兴趣 的 人 可 按 以 下 地 址 与 该 公司 联 
系 : 


DigiCash BV, Kruislaan 419, 1098 VA Amsterdam, Netherlands. 


6.4.7 其 他 数字 现金 协议 


其 他 数字 现金 协议 ， 见 文献 £707. 1554, 734, 1633, 973]. & 


们 中 的 一 些 涉及 相当 复杂 的 数学 问题 。 通 常 ， 各 种 数字 现金 协议 可 以 分 
为 不 同 的 种 类 。 联 机 系统 (on-line system) 需要 商人 在 每 次 销售 时 和 银 
行 联系 ， 很 像 今天 的 信用 卡 协议 。 如 果 有 问题 ， 银 行 不 会 接受 数字 现 


金 ，Alice 不 能 行 骗 。 








脱 机 系统 (off-line system) ， 如 协议 4， 直 到 商人 与 顾客 交易 之 后 
都 不 需要 商人 和 银行 之 间 的 通信 。 这 类 系统 可 以 发 现 Alice 行 骗 但 不 能 防 
止 Alice 行 骗 。 协 议 4 中 通过 验证 Alice 的 身份 知道 她 是 否 试图 欺骗 来 发 现 
她 的 欺骗。Alice 知 道 这 种 情况 会 出 现 ， 因 此 她 不 会 欺 驴 。 


为 一 种 方法 是 制造 一 个 特定 的 智能 卡 〔 参 见 24.13 节 ) ， 它 包含 一 
个 叫做 观察 者 (observer) 332- 341. 387] 的 防 窜改 芯片 。 观 察 者 芯 
保存 了 一 个 所 有 关于 智能 卡 上 花 挥 的 数字 现金 信息 的 袖珍 数据 库 。 如 果 
Alice 企 图 复制 数学 现金 并 再 次 花 挥 它 ， 这 个 被 敬 入 在 内 的 观察 者 心 片 就 
会 发 现 并 茶 止 交易 。 因 为 观 岁 者 心 片 是 防 窜改 的 ， 所 以 Alice 不 能 抹 挥 袖 
珍 数据 库 ， 除 非 永久 性 地 损坏 智能 卡 。 数 字 现 金 以 它 目 己 的 方式 在 经 济 
领域 中 流通 ， 当 它 最 终 被 存 入 银行 时 ， 银 行 可 以 检查 数字 现金 并 发 现 是 
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数字 现金 协议 也 可 以 被 分 在 另 一 类 。 电 子 货币 (electronic coin) 有 
固定 的 价值 ， 使 用 这 个 系统 的 人 们 需要 知 干 不 同 面额 的 硬币 。 电 子 文 标 
Celectronic check〉 可 以 用 在 任何 数量 直到 最 大 值 上 ， 然 后 作为 退 球 返 
回 没 有 用 完 的 部 分 。 








两 个 优秀 而 且 完 整 的 不 同 脱 机 电子 货币 协议 见 文献 [225、226、 
227] 和 L563, 564, 565] 。 有 一 个 系统 叫做 NetCash， 有 弱 匿 名 性 
质 ， 也 在 文献 L1048, 1049] 中 提出 。 另 一 个 新 系统 见 文献 [289] 。 


在 文献 L1211] 中 ，Tatsuaki Okamoto 和 Kazuo Ohta 列 出 了 一 个 理 


想 数 字 现 金 系统 的 六 个 性 质 : 


C1) 独立 性 。 数 字 现 金 的 安全 性 不 依赖 于 任何 物理 位 置 。 现 金 能 
通过 计算 机 网 络 传送 。 


(2) 安全 性 。 数 字 现 金 不 能 被 复制 和 重用 。 


(3) 隐私 性 (不 可 奶 踊 性 ) 。 用 户 的 隐私 受到 保护 ， 没 有 人 能 退 
踩 发 现 用 户 和 他 们 所 购物 之 间 的 关系。 


(4) 脱 机 付 球 。 当 一 个 用 户 用 电子 现金 为 所 购物 付 蒜 时 ， 用 户 和 
商人 之 间 的 协议 是 脱 机 执行 的 。 也 融 是 说 ， 商 店 不 必 与 一 台 主 机 相连 以 
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(5) 可 转移 性 。 数 字 现 金 可 被 转移 给 其 他 用 户 。 


(6) 可 分 性 。 给 定数 量 的 数字 现金 能 被 分 成 较 小 数额 的 多 份 数字 
现金 。“〈 当 然 ， 每 份 最 后 加 起 来 总 数 还 是 那么 多 。) 


上 面 讨论 的 协议 满足 性 质 (1) 、 (2) 、 (3) 和 (4) ， 但 不 满足 


性 质 (5) 和 (6) 。 [318, 413, 1243] 中 讨论 了 一 些 满足 除 性 质 
(4) 以 外 所 有 性 质 的 联机 数字 现金 系统 。 [339] 中 提出 了 第 一 个 满足 
性 质 (1) 、(2) 、(3) 和 (4) 的 脱 机 数字 现金 系统 ， 它 与 上 面 讨论 
的 协议 类 似 。Okamoto 和 Ohta 提 出 了 一 个 满足 性 质 C1) ~ (5) 的 系统 
L1209] 。 他 们 也 提出 了 一 个 满足 性 质 (1) 一 (6) 的 系统 ， 但 购买 一 
件 物品 要 求 的 数据 大 约 为 200MB 。 其 他 的 脱 机 可 分 货币 系统 在 文献 


[522] 中 讨论 。 


[1211] 中 还 提出 了 一 个 满足 性 质 CD ~ (6) 的 数字 现金 系统 ， 
这 个 系统 无 庞大 的 数据 要 求 。 一 次 付款 的 总 数据 传输 量 大 约 是 20KB， 
并 且 协 议 能 在 几 秒 钟 内 完成 。 作 者 认为 这 是 第 一 个 理想 的 不 可 追踪 的 电 
子 现金 系统 。 





6.4.8 匿名 信用 卡 





文献 L988] 中 的 这 个 协议 用 在 多 个 不 同 的 银行 以 保护 顾客 的 号 
份 。 每 一 位 顾客 在 两 个 不 同 银行 拥有 一 个 账户 ， 第 一 个 银行 知道 此 人 的 
吴 份 并 愿意 发 给 他 信用 卡 ， 第 二 个 银行 仅仅 知道 他 的 假名 《类似 于 瑞士 
银行 的 账号 ) 。 








顾客 可 以 通过 证 明 账 户 是 他 的 从 而 从 第 二 个 银行 取出 资金 。 但 是 ， 
银行 不 知道 这 个 人 也 不 愿 发 给 他 信用 卡 。 第 一 个 银行 知道 这 个 顾客 并 转 


账 给 第 二 个 银行 一 一 用 不 着 知道 假名 。 顾 客 然后 就 可 以 匿名 地 使 用 这 笔 
资金 。 在 月 末 ， 第 二 个 银行 给 第 一 个 银行 一 份 账 单 ， 这 是 银行 真正 应 该 
文 付 的 。 第 一 个 银行 把 顾客 应 该 文 付 的 账单 送 给 顾客 。 当 顾客 付 账 后 ， 
第 一 个 银行 把 附加 资金 转账 到 第 二 个 银行 。 所 有 的 交易 都 是 通过 一 个 中 
间 媒 介 处 理 的 ， 融 像 电子 联邦 储备 所 做 的 那样 : 在 银行 之 间 结 算账 目 、 
登记 消 轧 和 产生 审计 妃 踩 。 


























顾客 、 商 人 和 各 个 银行 的 交易 在 文献 [988] 中 描述 。 除 非 每 个 人 
都 串通 起 来 陷害 顾客 ， 否 则 顾客 的 匿名 是 可 以 保证 的 。 然 而 ， 这 不 是 数 
字 现 金 ， 银 行 很 容易 进行 欺骗 。 这 个 协议 允许 顾客 在 不 泄露 隐私 的 情况 
下 保护 其 信用 卡 的 利益 。 








第 7 章 ” 密 钥 长 度 
7.1 对称 密 钥 长 虐 


对 称 密码 系统 的 安全 性 是 算法 强度 和 密 钥 长 度 的 函数 : 前 者 更 加 重 
要 而 后 者 则 更 容易 描述 。 


假设 算法 具有 足够 的 强度 。 实 际 上 这 点 极 难 做 到 ， 不 过 本 例 却 很 容 
易 。 这 里 足够 的 意思 是 : 除了 用 穷 举 攻击 的 方式 试探 所 有 的 密 钥 外 没有 
更 好 的 方法 破译 该 密码 系统 。 


为 了 发 动 对 密码 系统 的 攻击 ， 密 码 分 析 者 需要 少量 的 密 文 和 对 应 的 
明文 ， 穷 举 攻 击 是 一 种 已 知 明文 的 攻击 。 对 分 组 密码 来 说 ， 密 码 分 析 者 
需要 密 文 分 组 和 对 应 的 明文 分 组 : 通常 是 64 位 。 获 得 明文 和 密 文 比 你 想 
象 的 要 容易 ， 密 码 分 析 者 可 通过 一 些 手段 获取 明文 消息 的 副本 而 后 去 截 
取 相 应 的 密 文 。 他 们 可 能 知道 有 关 密 文 格式 的 一 些 信息 : 如 它 是 一 个 

WordPerfect 文 件 ， 它 有 一 个 标准 的 电子 邮件 消息 头 ， 它 是 一 个 UNIX 目 
录 文 件 、 一 幅 TIFF 图 像 或 用 户 数据 库 中 的 一 个 标准 记录 。 而 所 有 这 些 格 
式 都 有 一 些 预 定义 字 节 。 密 码 分 析 者 不 需要 太 多 的 明文 来 发 起 这 种 攻 











很 容易 计算 一 次 穷 举 攻击 的 复杂 程度 。 如 果 密 钥 长 度 为 8 位 ， 那 么 
有 28 二 256 种 可 能 的 密 钥 ， 因 而 找 出 正确 的 密 钥 将 需要 256 次 尝试 ， 在 
128 次 尝试 后 找到 正确 密 钥 的 概率 是 50%。 假 如 密 钥 长 度 为 56 位 ， 就 有 
256 种 可 能 的 密 钥 。 设 想 有 一 台 每 秒 能 检验 100 万 个 密 钥 的 超级 计算 机 ， 
也 需要 2285 年 时 间 才 能 找 出 正确 的 密 钥 。 如 果 密 钥 长 度 为 64 位 ， 则 将 需 
要 585000 年 才能 在 2% 种 可 能 的 密 钥 中 找 出 正确 的 密 钥 。 如 果 密 钥 长 128 
位 ， 则 需要 102 年 的 时 间 。 宇 宙 也 只 有 102 年 的 历史 ， 相 对 而 言 102 年 
太 长 了 。 对 于 一 个 长 为 2048 位 的 密 铀 ， 用 每 秒 尝试 百 万 个 密 钥 的 百 万 个 
计算 机 并 行 工 作 要 10337 年 才能 完成 ， 到 那 时 宇宙 或 许 早已 爆炸 或 膨胀 
得 无 影 无 踪 了 。 

















在 你 急 着 去 发 明 一 个 8KB 密 钥 的 密码 系统 之 前 ， 请 记 住 其 强度 问题 
aT: 加 和 密 算 法 必须 非常 安全 ， 以 至 于 除 穷 举 攻击 外 没有 其 他 更 好 
的 方法 来 破译 它 。 这 并 不 像 看 上 去 那样 容易 。 密 码 学 是 一 门 奇妙 的 艺 
术 ， 看 上 去 完善 的 密码 系统 往往 是 非常 脆 弱 的 。 很 强 的 密码 系统 ， 哪 怕 
是 一 上 扣 扩 的 改变 束 会 使 它 变 得 非常 脆弱 。 对 业余 密码 设计 人 员 的 忠告 是 
要 对 任意 新 的 算法 进行 健康 的 、 执 铸 的 怀疑 ， 最 好 信任 那些 专业 密码 人 
员 分 析 了 多 年 而 未 能 攻破 的 算法 ， 怀 疑 那些 设计 者 宣称 其 安全 性 是 如 何 
好 的 算法 。 














记得 1.1 节 里 的 一 个 要 点 : 密码 系统 的 安全 性 应 依赖 于 密 钥 ， 而 不 





征 依赖 于 算法 的 细节 ， 假 设 密码 分 析 者 已 经 获得 了 你 的 算法 的 所 有 细 
节 ， 假 设 他 们 能 够 得 到 发 起 唯 密 文 攻击 的 足够 多 的 密 文 ， 假 设 他 们 能 够 
得 到 发 起 明文 攻击 所 需要 的 尽 可 能 多 的 数据 ， 甚 至 假设 他 们 能 进行 选择 
明文 攻击 。 在 这 些 情况 下 ， 如 果 密 码 体制 仍然 是 安全 的 ， 那 么 它 束 达到 
所 需要 的 安全 性 要 求 。 














忠告 归 忠 告 ， 在 密码 学 领域 业余 密码 人 员 还 是 有 许多 事 可 以 做 。 其 
实 ， 这 里 讨论 的 安全 性 在 许多 情况 下 并 非 必需 ， 大 多 数 政 人 并 不 具备 这 
方面 的 知识 ， 也 不 具有 一 个 强大 国家 所 拥有 的 计算 资源 ， 甚 至 他 们 连 破 
译 密码 的 兴趣 都 没有 。 如 果 你 正 密谋 推翻 一 个 强大 的 政府 ， 就 得 依靠 本 
书后 面 讲 的 那些 可 笔 而 正确 的 算法 。 剩 下 的 ， 就 是 如 何 玩 得 开心 了 。 








7.1.1 穷 举 攻击 所 需 时 间 和 金钱 估计 








记 住 ， 穷 举 攻击 是 一 种 典型 的 已 知 明 文 攻击 。 它 需要 少量 的 密 文 和 
相应 的 明文 。 如 果 你 假设 穷 举 攻击 是 对 算法 最 有 效 的 攻击 一 个 大 的 假 
Bo) ， 密 钥 必 须 足 够 长 以 致使 攻击 不 可 行 ， 那 么 密 钥 要 多 长 呢 ? 











有 两 个 参数 决定 了 穷 举 攻击 的 速度 : 需要 测试 的 密 钥 数 量 及 每 个 测 
试 的 速度 。 大 多 数 对 称 密码 算法 接受 一 个 固定 位 长 度 模式 作为 密 钥 。 
DES 算 法 有 56 位 密 钥 ， 共 2 个 可 能 的 密 钥 。 本 书 讨论 的 某 些 算法 有 64 
位 密 钥 ， 也 就 是 说 ， 有 2%“ 个 可 能 的 密 钥 ， 另 外 一 些 有 128 位 密 铀 。 








每 一 个 可 能 密 钥 的 测试 速度 也 是 一 个 因素 ， 但 重要 性 次 之 。 为 了 便 
于 分 析 ， 假 定 每 种 不 同 算法 的 测试 时 间 相 同 。 实 际 上 测试 一 种 算法 的 速 
上 度 可 能 比 男 一 种 算法 的 速度 快 两 三 倍 ， 甚 至 10 倍 。 但 由 于 我 们 正在 寻找 
的 密 钥 长 度 比 破译 密码 的 难度 大 百 万 倍 之 多 ， 所 以 测试 速度 小 小 的 差异 
可 以 忽略 。 











在 密码 通信 中 关于 穷 举 攻击 效率 的 多 数 讨论 都 集中 在 DES 算 法 上 。 
1977 年 ，Whitfield Diffie 和 Martin Hellman [497] 假设 了 一 种 专门 破译 
DES 的 机 器 。 这 人 台 机 器 由 100 万 个 芯片 组 成 ， 每 秒 能 测试 100 万 个 密 铀 。 
这 样 它 可 在 20 个 小 时 内 测试 2 个 密 钥 ， 如 果 要 破译 64 位 密 钥 的 算法 ， 
它 可 在 214 天 内 尝试 所 有 的 密 钥 。 


穷 举 攻击 必须 有 并 行 处 理 器 。 每 个 处 理 嚣 测试 密 钥 空 间 中 的 一 个 子 
集 ， 它 们 之 间 不 需要 通信 《除了 报道 成 功 的 消 轧 ) ， 并 且 和 它们 没有 共享 
的 内 存 。 设 计 这 样 一 合 具 有 100 万 个 并 行 处 理 需 的 机 器 ， 并 让 它们 彼此 
独立 地 工作 是 很 容易 的 。 





最 近 ，Micheal Wiener 决 定 设 计 一 台 穷 举 攻击 机 器 “1597、 1598], 
《这 人 台 机 需 是 为 攻击 DES 设 计 的 ， 但 对 任何 算法 都 适用 。) 他 设计 了 专 
门 的 蕊 片 、 主 板 、 支 染 ， 并 且 估 算 了 其 价格 。 他 发 现 只 要 给 100 万 美元 
就 能 制造 出 一 台 这 样 的 机 器 使 其 在 平均 3.5 小 时 (最 多 不 超过 7 小 时 )〉 内 
破译 56 位 密 钥 的 DES 算 法 。 他 还 友 现 机 器 的 价格 和 破译 速度 之 比 是 线性 
的 ， 表 7-1 列 出 了 各 种 密 钥 长 度 的 对 应 数据 。 记 住 摩尔 定律 : 大 约 每 经 


过 18 个 月 ， 计 算 机 的 计算 能 力 就 翻 一 番 。 这 意味 着 每 5 年 价格 就 会 下 降 
到 原来 的 10%， 所 以 1995 年 所 需要 的 100 万 美元 到 了 2000 年 就 只 用 花 10 
万 美元 。 流 水 线 计算 机 能 够 做 得 更 好 [7”?4] 。 














密 钥 长 度 〈 位 ) 
花费 的 金钱 〈 美 元 ) 

40 56 64 80 112 128 
10 万 2 秒 35 小 时 1 年 70 000 年 1014 年 TONE 
100 万 0. 2 秒 3.5 小 时 37 天 7000 年 013 年 1018 年 
1000 万 0. 02 Fb 21 分 钟 4 天 700 年 012 年 1017 年 
1 亿 2 毫秒 2 分 钟 9 小 时 70 年 oll 年 1015 年 
10 亿 0. 2 毫秒 13 Rb 1 小 时 7 年 010 4E 10!5 年 

100 亿 0. 02 毫秒 1 秒 5.4 分钟 245 天 0° 年 10'44 
1000 亿 2 微 秒 0.1 秒 32 秒 24K 013 年 1013 年 
1 万 亿 0. 2 微 秒 0. 01 秒 3 秒 2: 杰 天 07 年 1012 年 
10 万 亿 0. 02 微 秒 1 毫秒 0. 3 秒 6 小 时 05 年 1011 年 








表 7-1 1995 年 硬件 穷 举 攻击 的 平均 时 间 和 金钱 估计 





对 于 56 位 密 钥 ， 穷 举 攻击 所 需 金额 对 很 多 大 公司 和 一 些 犯 罪 组 织 来 
说 还 是 可 以 承受 的 。 对 于 64 位 密 铀 ， 则 只 有 一 些 发 达 国 家 的 军事 预算 才 
能 承受 。 而 破译 80 位 密 钥 现在 仍然 不 行 ， 但 是 如 宋 按 目前 的 形势 继续 发 
展 下 去 ， 这 种 情况 将 会 在 30 年 内 发 生 改 变 。 





当然 ， 估 计 未 来 35 年 计算 机 的 计算 能 力 是 很 可 笑 的， 一 些 科 弥 小 说 
里 出 现 的 技术 突破 可 能 会 觉得 上 述 预 测 很 可 笑 。 相 反 ， 目 前 一 些 未 知 的 
物理 限制 又 使 人 们 产生 不 切实 际 的 乐观 。 在 密码 学 中 悲观 一 点 是 很 明智 
的 。 用 80 位 密 钥 的 加 密 算法 是 一 种 目光 非常 短 浅 的 行为 ， 还 是 坚持 用 至 
少 112 位 的 密 钥 吧 。 





如 果 攻 击 者 想 要 不 择 手段 地 破译 一 个 密 铀 ， 他 们 必须 要 做 的 全 部 事 
情 就 是 花 钱 。 所 以 ， 估 计 密 钥 的 最 小 “价值 ”似乎 是 明知 的 在 试图 破译 
一 个 有 经 谤 价值 的 密 钥 之 前 ， 要 确信 它 到 撒 有 多 大 价值 呢 ? 举 个 极 闯 的 
例子 ， 如 果 一 个 加 密 的 消息 仅 值 1.39 美 元 ， 那 么 用 一 台 价 值 1000 万 美元 
的 破译 机 来 寻找 它 的 密 钥 在 经 鹿 上 就 又 无 意义 了 。 必 一 方面 ， 如 果 明 文 
消息 值 1 亿 美元 ， 那 么 建造 一 台 破 译 机 破译 此 信息 是 值得 的 。 此 外 ， 有 
些 消息 的 价值 会 随时 间 迅 速 减 少 。 














7.1.2 ”软件 破译 机 


没有 特殊 用 途 的 硬件 设备 和 大 规模 并 行 计 算 机 ， 穷 举 攻击 很 难 有 效 
地 工作 。 对 密码 系统 的 软件 攻击 比 硬件 攻击 大 约 慢 1000 倍 。 


基于 软件 穷 举 攻击 的 真正 威胁 ， 并 非 是 它 的 确定 性 ， 而 是 它 的 “ 自 
由 性 ”。 装 配 一 台 微 型 计算 机 来 测试 可 能 的 密 钥 ， 无 论 其 是 否 在 测试 都 
不 涉及 成 本 问题 ， 如 果 能 找到 正确 的 密 钥 一 一 那 太 好 了 ; 如 果 没 找到 ， 
也 不 会 失去 什么 。 建 立 整 个 这 样 的 微型 计算 机 网 络 同样 不 涉及 成 本 问 
题 。 最 近 一 次 对 DES 的 试验 ， 在 一 天 内 用 了 40 个 工作 站 的 空闲 时 间 对 23 
个 密 钥 进行 测试 “603」 。 按 这 样 的 速度 ， 将 需要 400 万 天 来 测试 所 有 的 
密 钥 ， 但 是 如 果 足 够 多 的 人 试图 像 这 样 破译 的 话 ， 总 有 某 个 人 会 在 某 处 
交 上 好 运 。 文 献 [603] 中 这 样 写 道 : 








软件 威胁 的 关键 是 十 足 的 坏 运 气 。 设 想 一 个 具有 512 个 工作 站 的 大 
学 计算 机 网 络 ， 对 某 些 校 园 来 说 这 是 一 个 中 等 规模 的 网 络 ， 它 们 甚至 可 
以 裔 及 世界 ， 通 过 电子 邮件 来 协调 各 自行 动 。 假 设 每 个 工作 站 能 以 每 秒 
加 密 15000 次 的 速率 运行 ， 考 虑 测试 和 更 换 密 钥 的 时 间 ， 则 每 台 每 秒 测 
试 8192 次 。 用 这 样 的 速度 测试 完 一 个 56 位 密 钥 空 间 将 需要 545 年 〈 假 定 
网 络 每 天 工作 24 小 时 ) 。 但 是 请 注意 ， 假 设 学 生 破 译 者 进行 同样 的 计 
算 ， 他 们 在 一 天 内 破译 出 密 钥 的 机 会 是 W200000， 在 一 周 内 破译 出 的 机 
会 增加 到 1/66000。 他 们 的 设备 越 先进 ， 或 者 使 用 的 机 器 越 多 ， 成 功 的 
机 会 自然 就 越 大 。 这 种 概率 对 靠 赛马 谋生 来 说 机 会 太 小 了 ， 但 在 某 些 情 
况 下 它 还 算 好 的 ， 如 同 政府 的 博彩 中 奖 相 比 它 要 好 得 
多 。“1/106? ”1000 年 能 发 生 一 次 吗 ?” 要 简单 地 说 清楚 这 些 事 已 不 再 可 
能 。 这 种 不 断 发 展 的 冒险 能 接受 吗 ? 











如 果 用 一 个 64 位 密 钥 来 蔡 换 56 位 密 钥 ， 密 码 算法 的 破译 难度 要 大 
256 倍 。 而 对 于 40 位 的 密 铀 ， 情 况 惑 远 比 这 简单 得 多 。 一 个 由 400 台 、 每 
台 每 秒 能 加 密 32000 次 的 计算 机 组 成 的 网 络 ， 能 够 在 短 短 一 天 内 完成 对 
40 位 密 钥 的 破译 (1992 年 ，40 位 密 钥 的 RC2 和 RC4 算 法 已 经 被 成 功 破译 


参见 13.8 节 ) 。 





对 128 位 密 钥 来 说 ， 进 行 穷 举 攻击 是 十 分 芳 唐 的 。 工 业 专家 估计 : 
到 1996 年 ， 世 界 上 将 有 2 亿 人 台 计 算 机 在 运行 ， 这 种 估计 包括 从 巨大 的 
Cray 大 型 机 到 笔记 本 电脑 在 内 的 计算 机 。 如 果 所 有 的 这 些 计算 机 同时 进 


行 穷 举 攻 击 ， 并 且 每 台 以 每 秒 100 万 次 的 加 密 速 度 进 行 ， 那 么 破译 这 个 
128 位 的 密 钥 也 需要 100 万 倍 宇宙 年 龄 的 时 间 才 能 成 功 。 





7.1.3 ”神经 网 络 


神经 网 络 对 密码 分 析 来 次 并 不 是 非常 有 用 ， 这 主要 是 由 其 解 空 间 的 
模式 导致 的 。 神 经 网 络 最 善于 处 理 那 些 连 续 解 的 问题 ， 这 些 解 比 妨 一 些 
更 好 。 这 就 允许 神经 网 络 学 习 并 在 学 习 中 得 出 越 来 越 好 的 解 。 而 破译 密 
码 算法 并 没有 提供 太 多 学 习 “ 机 会 ”的 方法 : 你 要 么 找到 密 钥 要 么 没有 
至少 对 稍微 好 的 算法 是 这 样 ) 。 神 经 网 络 适 用 于 那些 结构 化 环境 ， 那 
里 一 些 东 西 必须 要 学 习 ， 而 在 信息 燃 很 品 、 随 机 性 非常 强 的 密码 学 领域 
束 不 适用 了 。 








7.1.4 ”病毒 


让 数 以 百 万 台 计 算 机 放 在 一 起 进行 穷 举 攻击 所 直到 的 最 大 难题 是 说 
服 这 些 计算 机 的 拥有 者 同意 他 们 的 机 器 参与 。 你 会 有 礼貌 地 请 求 ， 但 那 
古 浪费 时 间 ， 因 为 他 们 会 说 “不 ”你 也 可 以 试图 侵占 他 们 的 机 器 ， 但 那 
更 是 浪费 时 间 ， 你 还 可 能 被 捕 ; 你 还 可 以 利用 计算 机 病毒 来 散布 攻击 程 
序 ， 以 更 加 有 效 地 宪 盖 到 尺 可 能 多 的 计算 机 上 。 








这 是 在 文献 L1593」 中 首次 提 到 的 特别 有 趣 的 思想 。 攻 击 者 写 下 并 


散布 计算 机 病毒 ， 这 些 病毒 并 不 重新 格式 化 硬盘 驱动 器 和 删除 文件 ， 它 
只 是 在 受 染 计算 机 的 空 闪 时 间 处 理 穷 举 攻击 的 密码 分 析 问 题 。 各 种 各 样 
的 研究 已 表明 微型 计算 机 70% 一 90%% 的 时 间 是 空 亲 的 ， 于 是 病毒 可 以 无 
任何 阻碍 地 找到 时 间 来 完成 它 的 任务 。 如 果 它 是 良性 的 ， 在 它 发 作 的 时 
候 甚 至 可 能 逃 过 人 们 的 注意 。 





最 后 ， 某 个 机 器 也 会 偶然 碰 到 正确 的 密 钥 ， 此 时 有 两 条 路 可 以 选 
择 : 其 一 ， 攻 击 病毒 将 引发 男 一 个 不 同 的 病毒 。 它 除了 复制 有 关 正 确 密 
钥 的 信息 和 删除 攻击 病毒 留 下 的 其 他 信息 外 不 做 任何 事情 。 然 后 ， 新 的 
病毒 通过 计算 机 网 络 传播 ， 直 到 它 回 到 编写 原始 病毒 的 人 的 计算 机 上 为 
se 














其 二 ， 插 吕 的 方法 将 是 病毒 在 屏幕 上 显示 以 下 信息 : 

本 机 中 有 严重 的 病毒 存在 ! 

请 拨 1-800-123-4567 并 且 读 入 下 面 的 64 位 数字 给 操作 人 员 : 
XXXX XXXX XXXX XXXX 

对 于 第 一 个 报告 该 病毒 的 人 给 予 100 美 元 的 奖金 。 


这 种 攻击 的 有 效 性 有 多 大 呢 ? 假设 一 台 被 感染 了 病毒 的 计算 机 可 以 
每 秒 测试 1000 个 密 钥 ， 这 远 远 低 于 计算 机 的 最 大 潜力 ， 因 为 我 们 不 得 不 
假设 它 会 干 其 他 事情 ， 我 们 也 假设 病毒 感染 了 1000 万 人 台 机 器 ， 这 样 这 个 


病毒 可 以 在 83 天 里 破译 一 个 56 位 密 钥 ， 在 58 年 内 破译 一 个 64 位 密 钥 。 你 
或 许 会 收买 抗 病 毒 软件 的 制造 者 ， 但 那 是 你 们 的 问题 。 任 何 计 算 机 速度 
或 者 病毒 感染 速度 的 增长 必然 会 使 这 种 攻击 更 加 有 效 。 








7.1.5 ”中国 式 抽 彩 法 


中 国 式 抽 彩 法 是 一 种 折 中 的 方法 ， 但 对 于 大 规模 并 行 密码 分 析 机 来 
说 是 一 个 可 行 的 建议 “2278 。 设 想 一 种 用 于 穷 举 攻击 的 每 秒 有 百 万 次 
测试 速度 的 破译 心 片 被 安装 在 每 全 收音 机 与 电视 机 中 售 出 ， 每 块 必 片 在 
通过 广播 收 到 一 对 明文 / 冤 文 后 便 上 自动 利用 其 中 的 程序 检 训 不 同 的 密 
钥 。 于 是 ， 每 当 想 要 破译 密 钥 时 ， 惑 广播 这 个 数据 ， 这 时 所 有 的 收音 机 
和 电视 机 便 开始 嘎 唆 吓 叱 地 开动 起 来 。 最 后 ， 正 人 确 的 密 钥 将 会 在 和 个 地 
方 被 某 人 人 找到， 这 个 人 也 因此 得 到 抽 彩 所 中 的 奖金 ， 这 样 束 确 保 了 结果 
会 有 迅速 而 正确 的 报告 ， 也 有 助 于 带 有 破译 心 片 的 收 首 机 和 电视 机 的 销 
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如 果 中 国 每 个 成 年 男人 、 妇 女 和 小 孩 都 拥有 一 台 这 样 的 收音 机 或 电 
视 机 ， 那 么 56 位 算法 的 正确 密 钥 在 61 秒 内 可 找到 。 如 果 仅 仅 110 的 中 国 
人 拥有 收音 机 或 电视 机 〈 这 更 接近 于 现实 ) ， 正 确 的 密 钥 将 在 10 分 钟 内 
找到 。64 位 算法 的 密 钥 将 在 4.3 小 时 内 找到 。 如 果 1100 的 人 拥有 收音 机 
或 电视 机 ， 则 需要 43 小 时 。 


为 了 使 攻击 能 付 诸 实际 ， 要 求 进 行 一 些 修改 。 首 先 ， 使 每 其 必 往 调 
试 随机 的 密 钥 ， 而 不 是 唯一 的 一 组 密 钥 将 会 更 加 容易 ， 这 样 将 使 攻击 减 
慢 39% 左 右 一 一 从 目前 我 们 正 处 理 的 数字 来 看 这 并 不 算 多 。 如 果 每 一 个 
人 都 在 测试 中 ， 最 后 有 人 就 在 其 "发 现 密 钥 ” 的 灯 灭 了 时 要 打 电 话 通报 这 
个 结果 ， 然 后 读 出 出 现在 他 们 屏幕 上 的 一 串 数 字 。 














表 7-2 显 示 了 中 国 式 抽 彩 对 不 同 国家 和 不 同 长 度 密 钥 的 有 效 性 。 中 
国 显 然 是 最 有 利于 实施 这 种 攻击 的 地 方 ， 但 他 们 不 得 不 使 每 一 个 人 都 拥 
有 电视 机 或 收音 机 。 美 国人 数 较 少 ， 但 有 多 得 多 的 设备 。 怀 俄 明 州 能 够 
在 不 到 一 天 之 内 破译 一 个 56 位 的 密 钥 。 





表 7-2 ”使 用 中 国 式 抽 彩 的 穷 举 攻击 估计 








破译 时 间 
国家 /地 区 人 口 电视 和 收音 机 数 T 
56 位 | 64 位 
中 国 1 190 431 000 257 000 000 280 秒 20 小 时 
美国 260 714 000 739 000 000 97 秒 6. 9 小 时 
伊拉克 19 890 000 1730 000 1. 2 小 时 44 天 
以 色 列 5051 000 3 640 000 5. 5 小 时 58 天 
美国 怀俄明 州 170 588 1 330 000 15 小 时 | 160 天 
美国 内 华 达州 温 尼 马 卡 6 100 17 300 48 天 34 年 











YE: 所 有 数据 摘自 《1995 World Almanac and Book of Facts) 。 
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如 果 生 物 已 片 是 可 能 的 ， 那 么 不 用 它 作 为 分 布 式 穷 举 攻击 密码 分 析 


生物 工程 技术 





工具 将 是 愚 奏 的 。 考 虑 一 种 假想 的 动物 ， 很 不 垃 地 称 它 为 DESosaur 

L1278」 。 它 由 能 够 检验 可 能 密 钥 的 生物 细胞 组 成 ， 这 些 生 物 细胞 可 以 
通过 光学 通道 接收 明文 / 密 文 对 《细胞 是 透明 的 ， 你 可 以 看 见 ) 。 而 密 
钥 解 则 通过 生物 体内 的 特殊 细胞 经 由 循环 系统 送 到 DESosaur 的 发 音 器 


人 > 


Eo 


典型 的 恐龙 古生物 具有 10 个 细胞 (包括 细菌 ) ， 如 果 它 们 每 秒 能 
完成 100 万 次 加 密 (应 该 承认 ， 这 是 一 个 大 的 假设 ) ， 那 么 破译 一 个 56 
位 的 密 钥 需要 7/10000 秒 ， 破 译 一 个 64 位 的 密 钥 少 于 15 秒 的 时 间 ， 但 破 
译 一 个 128 位 的 密 钥 仍 需 1011 年 。 


为 一 种 生物 方法 是 利用 遗传 密码 分 析 海 沪 ， 它 能 够 完成 对 密码 算法 
的 穷 举 攻击 "127831」 。 这 些 生 物体 使 制造 多 处 理 器 的 分 布 式 机 器 成 为 可 
能 ， 因 为 他 们 能 够 覆盖 很 大 的 区 域 。 每 个 明文 / 密 文 对 可 以 通过 卫星 广 
播 。 如 末 一 个 生物 体 找到 了 结果 ， 它 附近 的 细胞 将 改变 颜色 并 把 结果 传 
回 卫星 。 


假设 典型 的 海藻 细胞 大 小 为 10? 立方 微米 〈 这 或 许 是 一 个 大 的 估 
th) ， 那 么 102 个 可 占据 1 立方 米 ， 把 它们 放 入 海洋 ， 覆 盖 深 1 米 的 200 
平方 英里 (518 平 方 公里 〉 的 海水 (你 可 以 考虑 怎样 做 到 这 点 一 一 我 只 
是 出 主意 的 人 ) ， 这 样 将 有 10 个 海藻 漂浮 在 海洋 中 《超过 了 1000 亿 加 
仓 的 石油 ) 。 如 果 它 们 中 的 每 一 个 每 秒 能 够 尝试 100 万 个 密 钥 ， 那 么 它 
们 得 花 超 过 100 年 的 时 间 才 能 破译 128 位 的 密 钥 (让 海藻 处 于 繁荣 期 是 一 





个 问题 》， 不 管 海苔 处 理 速度 、 海 深 直 径 ， 或 者 能 够 在 海洋 中 扩散 的 区 
域 的 大 小 ， 其 中 任何 一 个 取得 突破 ， 都 将 有 效 地 减少 这 些 数 字 。 


请 不 要 问 我 有 关 纳 诺 技术 的 问题 。 





7.1.7 ”热力 学 的 局 限 性 





热力 学 第 二 定律 的 结论 是 :信息 的 表达 需要 一 定 的 能 量 。 通 过 改变 
系统 的 状态 ， 记 录 单 独 的 1 位 所 需要 的 能 量 不 少 于 kT， 其 中 T 表 示 系 统 
的 绝对 温度 ，k 是 波 耳 兹 曼 常 数 。〔 依 靠 我 ， 物 理 课程 几乎 就 结束 
Jo) 





假定 k=1.38*10-16 erg/K， 宇 宙 的 环境 温度 为 3.2K， 那 么 在 此 温度 下 
运行 的 计算 机 每 设置 或 清除 1 位 将 消耗 4.4*10-16 erg 的 能 量 。 在 比 宇宙 辐 
射 温度 低 的 环境 中 运行 一 台 计 算 机 将 需要 附加 的 能 量 来 运行 热泵 。 











目前 ， 太 阳 每 年 辐射 出 的 能 量 约 为 1.21*1041 erg， 该 能 量 足 以 使 理 
想 的 计算 机 上 的 2.7*10” 个 单独 位 发 生 改 变 ， 也 足以 使 一 个 187 位 计算 
器 中 的 所 有 状态 值 发生 改 变 。 如 果 绕 太阳 建造 一 个 Dyson 球 ， 并 且 让 它 
一 点 也 不 少 地 吸收 32 年 的 能 量 ， 那 么 我 们 就 能 使 一 台 计 算 机 的 能 量 增加 
到 2 。 当 然 ， 它 不 会 让 能 量 剩余 ， 以 便 计算 器 完成 任何 有 用 的 计算 。 


但 是 ， 这 仅仅 是 一 颗 星 体 ， 所 有 星体 中 很 渺小 的 一 绒 。 一 颗 典 型 的 


超新星 释放 的 能 量 可 达 10>1 erg( 约 是 能 量 以 微 中 子 形式 释放 的 100 倍 ， 
还 得 现在 就 开始 ) 。 如 果 所 有 这 些 能 量 被 用 于 运算 ， 那 么 一 个 219 位 的 
计算 器 会 循环 其 所 有 的 状态 值 。 


这 些 数字 与 设备 的 技术 性 能 无 关 ， 它 只 是 热力 学 允许 的 最 大 值 。 所 
以 我 们 可 以 断言 : 对 256 位 的 密 钥 进行 穷 举 攻击 是 绝对 行 不 通 的 ， 除 非 
在 超 空 间 里 用 超 物质 制造 计算 机 。 











2.3 节 中 已 经 讨论 了 单 问 函数 。 例 如， 两 个 大 系数 进行 相 乘 就 是 一 
个 单 问 函 数 ， 得 到 相 乘 的 结果 很 容易 ， 但 是 由 这 个 结果 分 解 得 到 两 个 篆 
数 却 非常 困难 《参见 11.3 节 ) 。 公 开 密 码 系统 就 是 利用 这 种 思想 做 成 单 
问 陷 门 函 数 。 实 际 上 ， 那 不 过 是 一 个 方言 ， 因 子 分 解 被 推出 是 一 个 难题 
CE M114) 。 众 所 周知 ， 它 似乎 是 这 样 。 如 末 它 的 确 是 ， 也 没有 人 
能 够 证 明 难 题 就 真 的 很 难 。 大 多 数 人 都 假定 因子 分 解 是 困难 的 ， 但 它 从 
来 没有 被 从 数学 上 证 明 过 





还 有 必要 再 哆 吗 一 点 。 不 难 想 象 50 年 后 的 情形 ， 人 们 围 坐 在 一 起 ， 
兴致 动 动 地 谈论 看 过 去 的 美好 时 光 : 那 时 候 ， 人 们 习惯 于 认为 因子 分 解 
是 难 的 ， 密 码 术 正 基于 这 种 难度 ， 而 公司 实际 上 依 徘 这 种 素材 大 赚 其 
钱 。 也 可 以 很 容易 地 设想 到 ， 未 来 在 数论 方面 的 发 展 使 因子 分 解 更 加 容 
易 或 者 复杂 度 定理 的 发 展 使 因子 分 解 变 得 坚 无 意义 。 没 有 理由 相信 这 会 
发 生 〈( 并 且 大 多 数 懂得 很 多 而 有 主见 的 人 也 会 告诉 你 这 是 不 可 能 的 )， 
但 是 也 没有 什么 理由 相信 它 不 会 发 生 。 





无 论 怎样 ,今天 主要 的 公开 密 钥 加 密 算法 都 是 基于 分 解 一 个 大 数 的 
难度 ， 这 个 大 数 一 般 是 两 个 大 素数 的 乘积 。( 其 他 一 些 算法 基于 称 为 离 
散 对 数 问题 的 东西 ， 这 里 我 们 做 相同 的 讨论 。〉 这 些 算法 也 会 受到 穷 举 


攻击 的 威 肋 ， 只 不 过 方式 不 同 。 破 译 它们 的 出 发 点 并 不 是 穷 举 所 有 的 密 
钥 进行 测试 而 是 试图 分 解 那个 大 数 〈 或 者 在 一 个 非常 大 的 有 限 域内 取 离 
散 对 数 一 一 一 个 类 似 的 问题 》。 如 果 所 取 的 数 太 小 ， 那 么 就 无 安全 可 
言 。 如 果 所 取 的 数 足够 大 ， 则 会 非常 安全 : 集中 世界 上 所 有 的 计算 机 力 
量 从 现在 开始 工作 直到 太阳 变 成 一 颗 新 星 为 止 痢 不 能 录 何 它 一 一 当然 是 
基于 目前 对 数学 的 理解 。11.3 节 更 注重 数学 细节 ， 讨 论 了 大 数 因子 分 解 
的 有 关 问 题 ， 这 里 仅 讨 论 分 解 不 同 长 度 的 数 需要 人 花费 多 长 时 间 。 











对 大 数 进行 因子 分 解 是 困难 的 。 不 幸 的 是 ， 对 算法 设计 者 来 说 它 正 
变 得 越 来 越 容 易 。 更 加 糟糕 的 是 ， 它 比 数学 家 所 和 希望 的 还 快 。1976 年 ， 
Richard Guy 写 道 : “本 世纪 内 如 果 有 人 不 采用 特殊 的 方式 成 功 地 对 1080 
二 
Rivest 说 过 分 解 一 个 125 位 〈 十 进 制 ) 的 数据 需要 40*1015 年 [599」 。 可 
是 ， 一 个 129 位 的 数据 在 1994 年 被 成 功 分 解 。 如 果 有 什么 教训 的 话 ， 那 
束 是 做 出 预言 将 是 很 患 配 的 。 











表 7-3 列 出 了 过 去 10 年 有 关 因 子 分 解 的 记录 。 其 间 ， 最 快 的 分 解 算 
法 是 二 次 筛选 法 〈 人 参见 11.3 节 ) 。 


年 度 位 数 〈 十 进 制 ) 分解 512 位 数据 的 难度 年 度 位 数 〈 十 进 制 ) 分 解 512 位 数据 的 难度 





1983 71 >20 000 000 1989 100 30 000 


1985 80 >2 000 000 1993 120 500 





1988 90 250 000 1994 129 100 


表 7-3 ”使 用 二 次 筛选 算法 进行 因子 分 解 








这 些 数据 是 触目 惊 心 的 。 今 天 已 经 很 不 容易 看 到 512 位 的 数据 在 操 
作 系 统 中 使 用 了 ， 因 为 对 这 些 数据 进行 因 了 于 分 解 并 危及 系统 的 安全 ， 是 
非常 可 能 的 : 因特网 上 的 蠕虫 可 在 一 个 周 完成 。 


计算 机 的 计算 能 力 是 以 mips-year 来 衡量 的 ， 即 每 秒 百 万 条 指令 的 计 
算 机 运行 一 年 ， 或 大 约 3*10 条 指令 。 根 据 约定 ， 一 台 1mips 的 计算 机 
就 等 同 于 一 台 DEC VAX 11/780。 因 此 ，1lmips-year 就 相当 于 一 台 VAX 
11/780 运 行 一 年 ， 或 等 同 的 机 器 。 (一 台 Pentium 100 计 算 机 大 约 是 


50mips， 而 一 台 1800-node Intel Paragon 机 器 则 是 50000mips。 ) 


1983 年 对 一 个 有 71 位 的 数据 进行 因子 分 解 需 要 0.1mips-year，1994 
年 对 一 个 129 位 的 数据 进行 因子 分 解 则 需要 5000mips-year。 计 算 能 力 这 
一 令 人 激动 的 增长 很 大 程度 上 归功 于 分 布 式 计算 的 引入 : 利用 网 络 上 工 
作 站 的 空闲 时 间 。 这 一 趋势 是 由 Bob Silverman 发 起 并 由 Arjen Lenstra 和 
Mark Manasse 大 力 发 展 的 。1983 年 因子 分 解 在 一 台 单 独 的 Cray X-MP 机 
器 上 使 用 了 9.5 小 时 ，1994 年 因子 分 解 却 耗费 了 5000mips-year 和 全 球 范 
围 内 1600 台 计算 机 将 近 8 个 月 的 空 亲 时间。 可见 ， 现 代 的 因子 分 解 从 这 
种 分 布 式 应 用 中 大 受 其 益 。 








情况 变 得 更 炎 了 。 一 种 新 的 因子 分 解 算法 取代 了 二 次 入 选 法 : 一 般 
数 域 筛选 法 。1989 年 数学 家 会 告诉 你 一 般 数 域 筛 选 法 永远 不 会 行 得 通 。 
1992 年 他 们 又 说 一 般 数 域 筛 选 是 可 行 的 ， 但 是 它 仅 仅 当 被 分 解 的 数 大 于 
130 一 150 位 《十 进 制 ) 时 才 比 二 次 筛选 法 快 。 可 是 今天 ， 众 所 周知 ， 对 





于 小 于 116 位 的 数 ， 一 般 数 域 筛选 法 也 快 得 多 [42 5354 。 同 时 分 解 一 
个 512 位 的 数 ， 一 般 数 域 筛 选 法 比 二 次 筛选 法 快 10 倍 。 在 一 台 1800-node 
Itel Paragon 机 器 上 运行 该 算法 只 需要 不 到 一 年 的 时 间 。 表 7-4 给 出 了 应 
用 该 算法 对 一 系列 不 同 大 小 的 数 进 行 因子 分 解 所 需 的 mips-year 1190] 


表 7-4 利用 一 般 数 域 疾 选 法 进行 因子 分 解 


位 进行 因子 分 解 所 需 的 mips-year 


S12 30 000 


位 进行 因子 分 解 所 需 的 mips-year 
1280 1* 1014 





768 2x 108 1536 3x 1016 


1024 3% Tor 2048 S02 





然而 ， 一 般 数 域 分 解法 的 速度 仍 在 加 快 ， 数 学 家 努力 紧 跟 这 些 新 技 
巧 、 新 优化 和 新 技术 ， 现 在 还 没有 任何 理由 认为 这 种 趋势 不 会 继续 。 与 
其 相关 的 一 个 算法 : 特殊 数 域 筛选 法 ， 现 在 已 经 能 够 分 解 一 些 特 殊 形 式 
的 数 《〈“ 一 般 并 不 用 于 密码 分 析 ) ， 其 速度 比 一 般 数 域 沛 选 法 还 要 快 。 假 
定 一 般 数 域 稼 选 法 优化 后 也 能 做 得 这 样 快 是 不 无 道理 的 ， 或 许 NSA 已 经 
知道 怎样 做 。 表 7-5 给 出 了 用 特殊 数 域 第 选 法 进行 因子 分 解 的 mips-year 


[1190] | 


表 7-5 AE ARI HiT EIA, A T AE 








进行 因子 分 解 所 需 的 mips-year 


512 < 200 


DEAT AF OD ART i 
1280 3 * 10° 


的 mips-year 








768 100 000 1536 2x 1011 


3 «107 4* 10! 


1991 年 在 欧洲 系统 安全 研究 所 的 一 个 实验 室 里 ， 参 与 者 一 致 认为 一 
个 1024 位 的 模 数 可 以 足够 保密 到 2002 年 [150] 。 然 而 ， 他 们 又 警告 
说 :“ 尽 管 实验 室 的 参与 者 在 各 自 的 领域 中 都 有 很 局 的 资格 ， 但 是 对 这 
些 声 明 (关于 安全 的 持续 性 ) 要 提高 警惕 。” 这 是 一 个 好 建议 。 











在 选择 公开 密 钥 长 度 时 ， 明 智 的 密码 人 员 应 该 是 极端 的 保守 主义 
者 。 为 了 断定 所 需要 的 密 铀 有 多 长 ， 你 必须 考虑 想 要 的 安全 性 和 密 钥 的 
生命 周期 ， 并 了 解 当前 因子 分 解 的 发 展 水 平 。 今 天 使 用 1024 位 长 的 数 仅 
能 获得 20 世 纪 80 年 代 初 期 512 位 的 安全 性 。 如 果 你 希望 你 的 密 钥 能 够 保 
持 20 年 的 安全 ， 那 么 1024 位 似乎 太 短 了 。 


即使 你 的 特殊 安全 性 并 不 值得 花 力气 对 模 数 进行 因子 分 解 ， 但 仍然 
处 于 危险 中 。 设 想 用 RSA 加 密 的 自动 银行 系统 吧 。Mallory 站 在 法 庭 上 大 
声 说 : “难道 你 没 读 报 ，1994 年 RSA-129 就 已 经 被 破译 ， 任 何 组 织 只 要 
花 上 几 百 万 美元 等 上 几 个 月 就 能 将 512 位 的 数 分 解 吗 ? 我 的 银行 就 是 使 
用 512 位 的 数 进行 保密 的 ， 顺 便 说 一 下 ， 我 并 没有 不 断 地 撤销 更 换 。” 即 
使 他 在 撒谎 ， 法 官 也 会 责令 银行 证 实 。 





为 什么 不 用 10000 位 的 密 钥 呢 ? 可 以 用 ， 但 你 必须 为 密 钥 变 长 毛 需 
的 计算 时 间 付 出 代价 。 通 常 ， 你 既 想 密 钥 足 够 长 又 想 计算 所 需 的 时 间 足 
够 短 。 


在 本 市 的 开始 时 我 就 说 过 做 出 预测 是 愚 磊 的 。 但 是 现在 我 也 预 训 一 


些 。 表 7-6 给 出 了 公开 密 钥 多 长 才 安全 的 一 些 忠告 。 其 中 ， 每 年 列 出 了 
三 个 密 钥 长 度 ， 分 别针 对 个 人 、 大 公司 和 政府 。 


表 7-6 ”公开 密 钥 长 度 的 推荐 值 〈 位 ) 


年 度 MPLA 对 于 公司 对 于 政府 


1995 768 1280 1536 





2000 1024 1280 1536 
2005 1280 1536 2048 
2010 1280 1536 2048 


2015 1536 2048 2048 
下 面 是 摘自 文献 C66] 的 一 些 假 设 : 


我 们 相信 能 够 获得 10 万 台 没 有 超人 的 或 缺乏 职业 道德 能 力 的 机 器 。 
也 就 是 说 ， 我 们 绝对 不 会 释放 任何 因特网 蠕虫 或 病毒 为 我 们 寻求 资源 。 
很 多 组 织 都 有 几 千 合 计算 机 在 网 上 。 充 分 利用 这 些 设备 的 确 需要 很 有 技 
术 性 的 外 交 能 力 ， 但 不 是 不 可 能 的 。 假 定 平均 计算 能 力 是 5mips， 那 么 
一 年 的 时 间 就 能 从 事 一 项 需要 50 万 mips-year 的 工程 。 





对 129 位 的 数 进 行 因子 分 解 这 样 一 个 工程 估计 需要 整个 因特网 计算 
能 力 的 0.03% IHN ， 这 不 会 令 它 感到 困难 。 假 定 一 个 非常 引 人 注 意 
的 工程 需要 花 一 年 时 间 使 用 全 球 2%% 的 计算 力量 并 非 不 可 理解 。 


假设 一 个 专注 的 密码 分 析 家 能 得 到 104 mips-year 的 计算 能 力 ， 一 个 
大 公司 能 得 到 107 mips-year， 并 且 政 府 能 得 到 10?” mips-year。 同 时 假定 
计算 机 的 计算 能 力 每 5 年 增长 10 倍 。 最 后 假定 数学 领域 因子 分 解 的 进步 











能 够 让 我 们 以 特殊 数 域 筛选 法 的 速度 分 解 一 个 一 般 的 数 《〈 然 而 这 是 不 可 
能 的 ， 但 话 又 说 回来 ， 技 术 突 破 随时 可 能 发 生 ) 。 表 7-6 推 荐 了 不 同年 
份 不 同 的 安全 密 铀 长 度 。 





- 定 要 记 住 需 考 虑 密 钥 的 价值 。 公 开 密 钥 经 常用 来 加 密 那 些 时 间 

长 、 价 值 大 的 东西 :银行 顾客 用 于 数字 化 取 球 系统 的 密 钥 ， 政 府 用 于 检 
验 其 护照 的 密 钥 ， 以 及 公证 人 的 公开 数字 签名 密 钥 。 或 许 并 不 值得 花 上 
几 个 月 的 计算 机 时 间 对 一 个 私人 密 钥 进行 攻击 ， 但 如 果 你 能 用 一 个 破译 
的 密 钥 印 制 自己 的 钞票 ， 那 么 它 束 非常 吸引 人 了 。 一 个 1024 位 的 密 钥 足 
以 作为 那些 用 一 个 星期 或 一 个 月 ， 甚 至 几 年 才 验 证 的 东西 的 签名 。 但 是 
你 并 不 想 拿 着 一 份 数字 签名 的 文件 从 现在 开始 在 法 寿 上 站 上 20 年 ， 并 且 
不 断 让 对 手 演示 如 何 用 相同 的 签名 伪造 文件 。 








对 更 远 的 未 来 进行 预测 会 更 加 愚 奏 。 谁 能 知道 2020 年 计算 机 、 网 
络 、 数 学 等 方面 发 展 成 什么 样 ? 然而 ， 如 果 你 看 得 更 远 点 ， 你 就 会 及 现 
每 个 年 代 分 解数 的 长 度 是 上 个 十 年 的 一 倍 。 这 引出 了 表 7-7。 








表 7-7 对 未 来 因子 分 解 的 预测 








密 钥 长 度 (位 ) 


1995 1024 


密 钥 长 度 (位 ) 
8192 





2048 16 384 


1096 


32 768 


男 一 方面 ， 分 解 技 术 可 能 在 2045 年 之 前 就 达到 它 的 极限 值 。 从 现在 
起 的 20 年 里 我 们 可 以 分 解 任 何 的 数 。 尽 管 如 此 ， 我 认为 未 必 。 


不 是 每 个 人 都 同意 我 的 推荐 。NSA 指 定 将 512 一 1024 位 的 密 钥 作 为 
数字 签名 标准 (参见 20.1 节 ) 一 一 远 远 低 于 我 所 推荐 的 长 期 安全 的 数 
值 ，Pretty Good Privacy (参见 24.12 节 ) 使 用 了 最 大 长 度 的 RSA 密 钥 
一 一 2047 位 。Arjen Lenstra， 世 界 上 最 成 功 的 因子 分 解 专 家 ， 在 过 去 10 
年 里 拒绝 做 出 预测 “949」 。 表 7-8 给 出 了 Ron Rivest 对 密 钥 长 度 的 建议 
值 ， 它 们 最 早 是 1990 年 做 出 的 ， 但 我 却 认 为 太 乐观 了 [1323」 。 当 他 的 
分 析 在 纸 面 上 看 来 非常 合理 时 ， 最 新 的 历史 却 展示 了 令 人 惊奇 的 事 正 有 
纲 律 地 发 生 着 。 这 对 你 在 选择 密 钥 后 ， 面 对 未 来 的 “惊奇 ”重新 保持 沉默 
是 非常 有 意义 的 。 





Vib 


427-8 Rivest 乐 观 的 密 钥 长 度 推荐 值 〈《 位 ) 


年 度 较 小 值 平均 值 较 大 值 





515 1289 
542 1399 
7 1512 
1628 
631 1754 
661 1884 
2017 


25000 美 元 的 预算 ， 使 用 二 次 筛选 算法 ， 每 年 的 技术 进步 为 20%%， 
这 是 较 低 的 估计 ; 25000000 美 元 的 预算 ， 使 用 一 般 数 域 星 选 法 ， 每 年 
33% 的 技术 进步 ， 这 是 一 般 的 估计 ; 而 较 高 的 估计 是 预算 为 25 亿 美元 ， 
使 用 一 般 二 次 筛选 法 运行 在 特殊 数 域 筛 选 法 的 速度 下 ， 每 年 有 45%% 的 技 
术 进 步 。 





一 直 有 这 样 一 种 可 能 性 存在 ， 那 就 是 因子 分 解 方面 的 进步 同样 令 我 
吃 怀 ， 但 归 因 于 我 的 计算 。 但 是 为 什么 要 相信 我 呢 ? 我 也 只 古 通 过 预测 
WEHA SERA IE Be o 








7.2.1 DNA 计 算法 





现在 的 情况 正 变 得 不 可 思议 。1994 年 ，Leonard M.Adleman 在 一 个 
生物 化 学 实验 室 里 竟然 演示 了 NP 完全 问题 的 解决 方法 (参见 11.2 节 ) ， 
他 用 DNA 分 子 链 描述 对 该 问题 解 的 推测 【17」 。Adleman 所 解决 的 问题 
是 引 向 单 向 汉密尔顿 路 径 问 题 的 一 个 实例 。 单 向 汉密尔顿 路 径 问 题 是 
指 ， 给 定 一 张 有 关 城 市 的 地 图 ， 其 中 这 些 城市 由 单 向 马路 连接 ， 要 求 在 
地 图 上 找到 一 条 从 城市 A 到 城市 Z 而 恰恰 仅 一 次 通过 所 有 城市 的 路 径 。 
在 Adleman 的 演示 中 ， 每 一 个 城市 由 一 系列 不 同 的 随机 的 20 基 点 的 DNA 
链表 示 ， 用 传统 的 微生物 技术 ，Adleman 综 合 处 理 了 50 皮 摩尔 (相当 于 
3*10 上 3 个 分 子 ) 的 DNA 链 。 每 一 条 路 径 也 是 由 一 个 20 基 点 的 DNA 链 表 
示 ， 但 这 些 DNA 链 并 不 是 随机 选取 的 ，Adleman 聪 明 地 选择 它们 以 使 表 
示 每 条 路 径 〈 如 路 径 PK) 的 DNA 链 的 开始 端 连 到 该 路 径 的 起 始 城市 

(如 P)〉 的 DNA 链 ， 而 其 尾部 则 连 到 终止 城市 (如 K)。 











Adleman 使 用 了 50 皮 摩尔 的 DNA 链 表示 每 一 条 路 径 ， 再 用 一 条 表示 
所 有 城市 的 DNA 链 将 它们 混合 在 一 起 ， 然 后 加 入 一 种 捆绑 酵素 使 所 有 
DNA 分 子 的 尾部 相连 。 酵 素 利 用 DNA 路 径 和 DNA 城 市 之 间 非 常 技巧 的 


关系 把 各 个 表示 路 径 的 DNA 链 连接 成 了 一 个 正当 的 模式 。 也 就 是 ， 路 径 
PK 的 “出 ?应 连接 到 了 始 于 城市 K 的 所 有 路 径 的 “入 ?应 ， 而 不 是 其 他 路 径 
的 “出 ? 端 或 始 于 其 他 城市 的 那些 路 径 的 “入 ? 端 。 这 些 混合 物 经 过 一 段 时 
间 的 反应 (时 间 是 精心 计算 的 ) ， 酵 素 会 生产 大 量 的 DNA 链 ， 这 些 
DNA 链 就 表示 地 图 上 合法 的 但 随机 的 多 路 路 径 。 





在 所 有 的 路 径 中 ，Adleman 可 以 观察 到 最 细微 的 痕迹 《甚至 单个 分 
子 ) ， 该 痕迹 表示 该 问题 解 的 DNA 链 。 利 用 微生物 学 的 一 般 技 术 ， 他 丢 
弃 那 些 表示 路 径 过 长 或 过 短 的 DNA 链 〈 在 所 希望 得 到 的 路 径 中 ， 路 径 的 
数目 应 该 等 于 城市 的 个 数 减 1) 。 接 着 ， 他 依次 丢弃 那些 不 经 过 城市 
A，B，.…，Z 的 DNA 链 。 如 采 最 后 茶 个 DNA 链 “生存 ”， 那 么 就 检测 它 
以 找到 它 所 表示 的 路 径 序 列 ， 这 就 是 单 向 汉密尔顿 路 径 问 题 。 








根据 定义 ， 任 何 NP 完 全 (NP-comlete) 问题 的 一 个 实例 都 可 以 在 
多 项 式 时 间 里 变换 成 其 他 NP 完 全 问题 的 一 个 实例 ， 当 然 也 可 以 转换 成 
单 向 汉密尔顿 问题 的 一 个 实例 。 从 20 世 纪 70 年 代 开 始 ， 密 码 学 家 才 尝 试 
将 NP 完全 问题 用 于 公开 密 钥 密码 系统 中 。 





由 于 Adleman 解 决 的 这 个 实例 非常 “朴素 ”( 地 图 上 仅 有 7 个 城市 ， 用 
眼睛 观察 也 不 过 几 分 钟 就 能 解决 ) ， 这 项 技术 还 处 于 初期 ， 并 且 在 发 展 
上 没有 太 大 的 障碍 。 所 以 ， 有 关 基 于 NP 完全 问题 的 密码 协议 的 安全 性 
讨论 到 目前 为 止 才 开始 “假定 破译 者 有 100 万 个 处 理 器 ， 每 个 处 理 器 每 
秒 能 测试 100 万 次 ”， 或 许 很 快 就 被 改 成 < 假定 破译 者 有 1000 个 发 酵 桶 ， 





每 个 发 酵 桶 有 20000 升 的 容量 ”。 


7.2.2 量 了 于 计算 法 





现在 ， 已 经 更 不 可 思议 了 。 量 子 计算 法 的 基本 原理 就 是 爱 因 斯 坦 的 
KM RIE: 光子 可 以 同时 存在 于 多 种 状态 。 一 个 典型 的 例子 就 是 ， 当 
光照 射 到 银 白 色 的 镜面 时 ， 它 会 有 波 一 样 的 特性 ， 既 可 以 反射 也 可 以 传 
ii, SABRE rARO Me, ANAM, AMMA 
穿 过 去 。 然 而 对 光子 进行 测量 时 它 又 表现 出 粒子 的 特性 ， 有 一 个 唯一 的 
可 被 测量 的 状态 。 














在 文献 [1143」 中 ，Peter Shor 阐 述 了 一 个 基于 量子 力学 的 因子 分 解 
机 器 的 设计 模型 。 与 一 般 的 计算 机 在 共 一 特定 时 刻 可 以 认为 有 一 个 固定 
的 状态 不 同 ， 量 子 计 算 机 有 一 个 内 部 波动 函数 ， 这 个 函数 是 所 有 可 能 基 
状态 的 联合 重合 。 计 算 机 在 单 步 运算 中 通过 改变 整套 的 状态 值 来 改变 小 
动 函 数 。 在 这 种 意义 上 ， 量 子 计 算 机 是 基于 经 典 的 有 限 状 态 机 改进 而 成 
的 : 它 利 用 量子 特性 允许 在 多 项 式 时 间 里 进行 因子 分 解 。 理 论 上 可 以 用 
来 破译 基于 大 数 分 解 或 离散 对 数 问题 的 密码 系统 。 














舆论 一 致 认为 ， 量 子 计 算 机 与 基本 量子 力学 定理 是 可 以 和 谐 共存 
的 。 然 而 ， 在 可 预见 的 未 来 制造 出 一 台 量 子 因 子 分 解 机 基本 上 是 不 可 能 
的 。 最 大 的 障碍 是 非 连贯 性 问题 ， 因 为 它 容易 导致 登 加 后 的 波形 丢失 某 














些 特性 ， 从 而 使 计算 失败 。 非 连贯 性 会 使 运行 在 IK 温 度 下 的 计算 机 仅 1 
纳 秒 后 就 死机 。 夯 外 ， 制 造 一 合 量子 因子 分 解 设 备 需要 超大 量 的 逻辑 

门 ， 这 使 得 制造 它 不 太 可 能 。Shor 的 设计 需要 一 部 完整 的 模 取 需 计 算 

机 。 由 于 没有 内 部 时 钟 ， 所 以 数 以 千 万 计 甚 至 数 以 亿 计 的 独立 门 用 于 分 
解密 码 上 非常 大 的 数 ， 如 条 n 个 量子 门 有 很 小 的 错误 概率 p， 则 每 成 功 运 
行 一 次 所 需 实验 的 次 数 就 是 (1/ 〈1-p) ) 2 。 假 定量 子 门 的 数目 按 被 分 
解数 的 长 度 〈 位 ) 呈 多 项 式 增 加 ， 那 么 实验 次 数 将 随 该 长 度 呈 超级 指数 
增长 一 一 这 比 用 试 除法 进行 分 解 还 要 粳 糙 ! 








所 以 ， 昌 然 量子 因 了 于 分 解法 在 学 术 上 非常 令 人 兴奋 ， 但 它 在 不 远 的 
将 来 被 用 于 实践 却 是 不 可 能 的 。 别 说 我 没有 提醒 你 ! 


7.3 ”对 称 密 钥 和 公开 密 铀 长 度 的 比较 


一 个 系统 往往 是 在 其 最 弱 处 被 攻击 。 如 果 你 同时 用 对 称 密 钥 算法 和 
公开 密 钥 算法 设计 一 个 系统 ， 那 么 你 应 该 好 好 选择 每 一 种 算法 的 密 钥 长 
度 ， 使 它们 被 不 同方 式 攻 击 时 有 同样 的 难度 。 同 时 使 用 128 位 的 对 称 密 
钥 算 法 和 386 位 的 公开 和 密 钥 算法 将 胎 无 意义 ， 就 如 同 使 用 56 位 的 对 称 密 











钥 算 法 和 1024 位 的 公开 密 钥 算法 一 样 。 
表 7-9 列 出 了 一 系列 攻击 难度 相同 的 对 称 密 钥 和 公开 密 钥 长 度 。 


表 7-9 ”能 阻止 穷 举 攻击 的 对 称 和 公开 密 钥 密码 的 密 钥 长 度 


对 称 密 钥 长 度 公开 密 钥 长 度 对 称 密 钥 长 度 公开 密 钥 长 度 


384 位 





56 位 112 位 1792 位 
64 位 512 位 
768 位 


128 位 2304 位 





80 位 
该 表 说 明 ， 如 果 你 认为 对 称 密 钥 算法 的 密 钥 长 度 必 须 112 位 才 安 
全 ， 那 么 你 的 公开 密 钥 算法 的 模 数 融 是 1792 位 。 尽 管 如 此 ， 一 般 而 言 你 
应 该 选择 比 对 称 密 钥 算法 更 安全 的 公开 密 钥 长 度 ， 因 为 公开 密 钥 算法 通 
第 持续 时 间 长 ， 且 保护 更 多 的 信息 。 


7.4 对 单 癌 散 列 函数 的 生日 攻击 


对 单 向 散 列 函数 有 两 种 穷 举 攻击 的 方法 。 第 一 种 最 明显 : 给 定 消息 
的 散 列 函数 了 (M) ， 破 译 者 逐个 创建 其 他 文件 M， 以 使 HE (M) = 
H M) ; 第 二 种 攻击 方法 更 巧妙 : 攻击 者 寻找 两 个 随机 消息 ， M. M 
'， 并 使 H (M) =H M’) ， 这 就 是 所 谓 的 冲突 〈collision) Wie, € 
比 第 一 种 方法 容易 。 


生日 悖 论 是 一 个 标准 的 统计 问题 。 房 子 里 应 有 多 少 人 才 有 可 能 使 至 
少 一 个 人 与 你 生日 相同 ? 答案 是 253。 既 然 这 样 ， 那 么 应 该 有 多 少 人 才 
能 使 他 们 中 至 少 两 个 人 的 生日 相同 呢 ? 答案 出 人 意料 地 低 : 23 人 。 对 于 
仅 有 23 个 人 的 屋 里 ， 在 屋 里 仍 有 253 个 不 同 对 的 人 。 


寻找 特定 生日 的 菜 人 类 似 于 第 一 种 攻击 ， 而 寻找 两 个 随机 的 具有 相 
同 生 日 的 两 个 人 则 是 第 三 种 攻击 。 第 二 种 方法 通常 称 为 生日 攻击 
(birthday attack) 。 


假设 一 个 单 向 散 列 函数 是 安全 的 ， 并 且 攻 击 它 最 好 的 方法 是 穷 举 攻 
击 。 假 定 其 输出 为 mn 位， 那么 寻找 一 个 消 轧 ， 使 其 单 同 函 数值 与 给 定 图 
数值 相同 则 需要 计算 2 次 ， 而 寻找 两 个 消息 具有 相同 的 散 列 值 仅 需 
试验 2™% 个 随机 消息 。 每 秒 能 进行 100 万 次 散 列 运算 的 计算 机 需要 花 60 
万 年 才能 找到 第 二 个 消息 与 给 定 的 64 位 散 列 值 相 匹 配 。 同 样 的 机 器 可 以 








在 大 约 1 小 时 里 找到 一 对 有 相同 的 散 列 值 的 消息 。 


这 就 意味 着 如 果 你 对 生日 攻击 非常 担心 ， 那 么 你 所 选择 的 散 列 函数 
值 的 长 度 应 该 是 你 本 以 为 可 以 的 两 倍 。 例 如 ， 如 果 你 想 让 他 们 成 功 破 译 
系统 的 可 能 低 于 1/239 ， 那 么 应 该 使 用 160 位 的 单 向 散 列 函数 。 








7.5 密 钥 应 该 多 长 





答案 并 不 固定 ， 要 视 情 况 而 定 。 为 了 确定 你 需要 多 高 的 安全 性 ， 你 
应 该 问 上 自己 一 些 问 题 : 你 的 数据 价值 有 多 大 ? 你 的 数据 要 多 长 的 安全 
期 ? 攻击 者 的 资源 情况 怎样 ? 


一 个 顾客 清单 或 许 值 1000 美 元 ;一 起 令 人 痛 百 的 离婚 案件 的 财政 数 
据 或 许 值 1 万 美元 ;一 个 大 公司 的 广告 和 市 场 数据 应 该 值 100 万 美元 ;而 
一 个 数据 取 球 系统 的 主 密 钥 价 值 可 能 会 超过 亿 元 。 


在 商品 贸易 的 世界 里 ， 保 密 仅 需 要 数 分 钟 。 在 报纸 行业 ， 今 天 的 秘 
密 将 是 明天 的 头条 标题 。 产 品 开发 信息 或 许 需 要 保密 一 两 年 。 根 据 法 
律 ， 美 国人 口 普 碍 数据 要 保密 100 年 。 








参加 你 小 妹妹 令 人 惊讶 的 生日 晚会 的 客人 名 单 只 能 引起 那些 爱 管 内 
事 的 杀 威 的 兴趣 ， 公 司 的 贸易 秘密 是 那些 竞争 公司 所 感 兴 趣 的 ， 对 政 摆 
来 说 车 事 秘密 是 值得 感 兴趣 的 。 





Fe 


你 可 以 据 此 阐述 你 的 安全 需求 。 例 如 : 


密 钥 长 度 必须 足够 长 ， 以 使 破译 者 人 花费 1 亿美 元 在 一 年 中 破译 系统 
的 可 能 性 不 超过 1/2”， 甚 至 假设 技术 在 此 期 间 每 年 30% 的 增长 速 
Eo 








表 7-10 部 分 摘 目 文献 [150」， 给 出 了 对 不 同 信息 安全 需要 的 佑 








e 
表 7-10 不同 信息 的 安全 需要 
信息 类 型 时 间 最 小 密 钥 长 度 

战场 军事 信息 数 分 钟 /小 时 56 一 64 位 

品 发 布 、 合 并 和 利率 数 天 / 数 周 64 位 
长 期 商业 计划 数 年 64 位 
贸易 秘密 数 十 年 112 位 
氧 弹 秘密 >40 年 128 位 
间谍 的 身份 >50 年 128 位 
个 人 隐私 >50 年 128 位 
外 交 秘 密 >65 年 至 少 128 位 
美国 普查 数字 100 年 至 少 128 位 


将 来 的 计算 机 能 力 是 难以 估计 的 ， 但 这 里 有 一 个 合情合理 的 经 验方 
法 : 计算 机 设备 的 性 价 比 每 18 个 月 翻 一 番 或 者 以 每 5 年 10 倍 的 速度 增 
长 。 这 样 ， 在 50 年 内 最 快 的 计算 机 将 比 今天 快 10n 倍 ， 并 且 这 些 数字 仅 
对 于 普通 用 途 的 计算 机 而 言 ， 谁 能 知道 菏 种 特制 的 密码 破译 机 在 下 个 50 
年 内 如 何 发 展 呢 ? 








假定 一 种 加 密 算 法 能 用 30 年 ， 你 就 能 对 它 是 多 么 安全 有 一 个 概念 。 
现在 设计 的 一 种 算法 或 许 直 到 2000 年 才 会 普遍 使 用 ， 并 将 在 2025 年 仍然 
运用 它 来 为 那些 需要 保密 至 2075 年 或 更 晚 的 信息 加 密 。 


7.6 /\25 


有 关 对 未 来 10 年 计算 能 力 的 预测 是 十 分 滑 移 的， 更 不 用 说 50 年 了 。 
那些 计算 仅 可 以 理解 为 一 个 指导 ， 仅 此 而 已 。 如 果 说 过 去 就 是 一 个 同 
导 ， 那 么 现实 已 经 表明 ， 未 来 与 我 们 预测 的 情况 会 有 很 大 不 同 。 











保守 一 点 吧 。 如 果 你 的 密 钥 比 你 认为 必须 有 的 长 度 还 要 长 的 话 ， 驶 
没有 太 多 令 人 惊讶 的 技术 能 够 伤害 到 你 。 


往生 
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Alice 与 Bob 有 一 个 保密 通信 系统 。 他 们 玩 智 力 扑 克 游 戏 ， 签 订 合 
同 ， 甚 至 相互 交换 数字 现金 。 他 们 的 通信 协议 是 安全 的 ， 算 法 也 是 一 流 
的 。 不 笠 的 是 ， 他 们 的 密 钥 来 自 Eve 的 "keys-R-Us”， 该 店 的 口号 是 “你 可 
以 相信 我 们 ;安全 性 是 我 们 前 任 疲 小 的 旅行 社 在 Kwik-E-Mart 过 到 的 某 
个 人 的 别名 ”。 








Eve 不 需要 破译 这 些 算法 ， 也 不 依靠 协议 的 微小 缺陷 ， 她 尽 可 以 使 
用 他 们 的 密 钥 阅读 所 有 Alice 与 Bob 的 通信 而 不 用 动 一 根 指 头 去 破译 。 





在 现实 世界 里 ， 密 钥 管 理 是 密码 学 领域 最 困难 的 部 分 。 设 计 安 全 的 
密 钥 算法 和 协议 是 不 容易 的 ， 但 你 可 以 依靠 大 量 的 学 术 研究 。 相 对 来 
说 ， 对 密 钥 进行 保密 更 加 困难 。 











密码 分 析 者 经 常 通过 密 钥 管 理 来 破译 对 称 密 钥 和 公开 密 钥 系统 ， 假 
如 Eve 能 从 粗心 的 密 钥 管 理 程序 中 很 容易 找到 密 钥 ， 她 何必 为 破译 而 操 
心烦 恼 呢 ?7 如 采花 1000 美 元 能 贿赂 一 个 书记 员 ， 她 何必 花 1000 万 去 制造 
一 台 破 译 机 器 呢 ? 利用 100 万 美元 收买 外 交大 使 馆 里 一 个 职位 不 错 的 通 








内 贼 卖 到 了 苏联 。 中 央 情 报 局 (CIA〉 的 军事 情报 人 员 ， 包 括 他 们 的 妻 
子 ， 可 以 为 不 到 20 万 美元 所 引 劾 ， 这 可 比 建 造 大 型 的 攻击 机 器 和 雇佣 聪 


明 的 密码 分 析 专 家 便宜 得 多 。Eve 还 可 以 偷 到 密 铀 ， 也 可 以 逮 到 或 绑架 
知道 密 钥 的 人 。 当 然 ，Eve 利 用 色相 对 知晓 密 钥 者 进行 勾引 ， 也 能 得 到 
密 钥 (保卫 莫斯科 美国 大 使 馆 的 海军 陆 战 兵 对 此 并 不 具备 免疫 力 )。 在 
人 号 上 找到 漏洞 比 在 密码 系统 中 找到 漏洞 更 容易 。 


Alice 与 Bob 必 须 像 保 护 他 们 的 数据 那样 保护 他 们 的 密 钥 。 如 打 一 个 
密 钥 不 经 党 更改 ， 那 么 分 析 者 可 获得 大 量 的 数据 。 不 幸 的 是 ， 许 多 商业 
产品 只 简单 地 标注 “使 用 DES” 而 将 其 他 事情 抛 在 脑 后 。 这 样 的 结果 往往 
并 不 令 人 振奋 。 





= 


举 个 例子 ， 大 多 数 软件 店 出 售 的 对 Macintosh 〈2.1 版 ) 的 磁盘 锁 程 
序 声称 具有 DES 加 密 算法 的 安全 性 。 他 们 的 文件 的 确 是 用 DES 加 密 的 ， 
并 且 对 DES 算 法 的 实现 也 正确 。 然 而 磁盘 锁 将 DES 密 钥 放 在 加 密 后 的 文 
件 中 。 如 果 你 知道 到 哪里 去 寻找 密 钥 ， 并 想 阅 读 用 磁盘 锁 的 DES 加 密 后 
的 文件 ， 从 加 密 的 文件 中 恢复 密 钥 ， 然 后 用 它 解密 。 这 与 是 否 使 用 DES 
加 密 该 程序 没有 任何 关系 一 一 这 种 应 用 是 完全 不 安全 的 。 











有 关 密 钥 管理 的 进一步 资料 可 见 文献 [457、98、1273、1225、 
775. 357] 。 下 面 几 节 将 深入 讨论 一 些 细节 及 其 解决 方案 。 


8.1 PÆ EH 


算法 的 安全 性 依赖 于 密 钥 ， 如 果 用 一 个 弱 的 密 钥 产生 方法 ， 那 么 整 
个 系统 都 将 是 弱 的 。 因 为 能 破译 密 钥 产 生 算法 ， 所 以 Eve 就 不 需要 破译 
加 密 算 法 了 。 


8.1.1 减少 的 密 钥 空间 


DES 有 56 位 的 密 钥 ， 正 和 常情 况 下 任何 一 个 56 位 的 数据 串 都 能 成 为 密 
钥 ， 所 以 共有 2”%” (101° ) 种 可 能 的 密 钥 。Norton Discreet for MS- 
DOS (8.0 版 或 更 低 的 版 本 ) 仅 允 许 ASCII 码 的 密 钥 ， 并 强制 每 一 字 节 的 
最 高 位 为 零 。 该 程序 将 小 写字 母 转换 成 大 写 〈 使 得 每 个 字 节 的 第 5 位 是 
第 6 位 的 逆 )， 并 忽略 每 个 字 节 的 最 低位 。 这 样 就 导致 该 程序 只 能 产生 
24 个 可 能 的 密 钥 。 这 些 糟糕 的 密 钥 产 生 程序 使 DES 的 攻击 难度 比 正 
情况 低 了 1 万 倍 。 
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表 8-1 给 出 了 在 不 同 输入 限制 下 可 能 的 密 钥 数 。 表 8-2 给 出 了 在 每 秒 
100 万 次 测试 的 情况 下 ， 寻 找 所 有 这 些 密 钥 消耗 的 时 间 ， 记 住 ， 穷 举 搜 
索 8 字 市 密 钥 与 搜索 (4、5、6、7、8 字 市 密 钥 在 所 费时 间 上 只 有 很 小 的 区 


mj 


Fl 。 


表 8-1 不 同 密 钥 空间 的 可 能 密 钼 数 


eH 5 字 节 6 字 节 7 字 节 8 字 节 





小 写字 母 (26) 160 000 1.2X107 3.1108 8.0 10° 2.1X10!! 
小 写字 母 和 数字 (36) 1 700 000 6.0X107 2.2109 7.8X10! 2.8X10!? 
字母 数字 字符 (62) 1.5X107 9.2X108 5. 7X 101° 3.51012 23.22% 10 
印刷 字符 (95) Ss TXIO 7.7X10° 7.410! 7.01038 6. 6X10! 
ASCII 字符 (128) 2.7X108 3.4X 10! 4.410! 5.610! 7. 2X 102° 
8 位 ASCII 字符 (256) 1.3109 1.110! 2.810" 7.21016 1.81019 








428-2 不 同 密 钥 空 间 穷 举 搜索 时 间 (假设 每 秒 测试 100 万 次 ) 





Lp 1 6 字 节 TFU 8 F 
小 写字 母 (26) 0. 5 秒 12 #b 5 分 钟 2. 2 小 时 2.4 天 
小 写字 母 和 数字 (36) 1.7 秒 1 分 钟 36 分 钟 22 小 时 33: 
字母 数字 字符 (62) 15 #b 15 分 钟 16 小 时 41 天 6. 9 年 
印刷 字符 (95) 1.4 分 钟 2. 1 小 时 8.5 天 2. 2 年 210 年 
ASCII 字符 (128) 1. 5 分 钟 9.5 小 时 AR 18 年 2300 年 
8 位 ASCII 字 符 (256) 1. 2 小 时 IIR 8. 9 年 2300 年 580 000 年 





特定 的 穷 举 攻击 硬件 和 并 行 工具 将 在 这 里 工作 ， 每 秒 测试 100 万 次 
一 台 机 器 或 多 台 机 器 并 行 运转 ) ， 那 么 将 能 破译 小 写字 母 和 小 写字 母 
与 数字 的 8 字 市 的 密 钥 ，7 字 节 的 字母 数字 字符 密 钥 ，6 字 节 的 印刷 字符 


和 ASCII 字 符 密 钥 ，5 字 节 长 的 8 位 ASCII 字 符 密 钥 。 








记 住 ， 计 算 机 的 计算 能 力 每 18 个 月 翻 一 倍 。 如 果 期 望 密 钥 能 够 抵抗 
穷 举 攻击 10 年 ， 那 么 最 好 相应 地 做 出 计划 。 


8.1.2” 弱 密 钥 选择 


人 们 选择 自己 的 密 钥 时 ， 通 常 选 择 一 个 弱 密 钥 。 他 们 常常 喜欢 选择 
Barney 而 不 是 *9(hH/A。 并 不 能 总 归罪 于 不 良 的 安全 实践 ， 而 是 Bamey 





的 确 比 *9 〈hH/A 更 容易 记忆 。 最 安全 的 密码 系统 也 帮 不 了 那些 习惯 用 
他 们 配 侦 的 名 字 作 为 密 钥 或 者 把 密 钥 写 下 来 揣 在 针 里 的 人 。 聪 明 的 穷 举 
攻击 并 不 按照 数字 顺序 去 尝试 所 有 可 能 的 密 钥 ， 它 们 首先 笃 试 最 可 能 的 
AA 








这 就 是 所 谓 的 字典 攻击 ， 因 为 攻击 者 使 用 一 本 公用 的 密 钥 字典 。 
Baniel Klein 用 这 个 系统 能 够 破译 一 般 计算 机 上 40% 的 口令 [347、848」， 
试图 登录 时 ， 他 并 不 是 一 个 口令 接 一 个 口令 地 试验 ， 他 把 加 和 密 的 口令 文 
件 复制 下 来 然后 进行 离线 攻击 。 下 面 是 他 的 试验 : 


(1) 用 户 的 姓名 、 简 写字 母 、 账 户 姓 名 和 其 他 有 关 的 个 人 信息 都 
是 可 能 的 口令 ， 基 于 所 有 这 些 信息 可 以 党 试 130 个 口令 。 对 于 一 个 名 叫 
Daniel V.Klein， 账 户 名 为 klone 的 用 户 ， 可 用 来 答 试 口令 的 一 些 词 是 
klone、klone0、klonel、klone123、dvk、dvkdvk、dkdein、Dklein、 
leinad、nielk、dvklein、danidk、DvkkvD、DANIEL-KLEIN、 (klone) 


和 KleinD 等 。 


(2) 使 用 从 各 种 数据 库 中 得 到 的 单词 。 这 些 单词 是 男人 和 女人 的 
姓名 名 单 〈 总 共 约 为 16000) ; 地 点 (包括 像 spain、spanish 和 spaniard 这 
样 的 排列 也 会 考虑 在 内 ) ; 名 人 的 姓名 : 卡通 漫画 和 卡通 人 物 ， 电 影 和 
科幻 小 说 故事 的 标题 、 有 关 人 物 和 地 点 ; 神话 中 的 生物 名 字 〈 从 
(Bullfinch’s Mythology》 和 神话 动物 字典 中 产生 出 的 ) ; 体育 活动 ( 包 
括 球 队 名 、 别 名 和 专用 名 称 ) ; 数字 《比如 2001 和 twelve) ; 一 串 字 母 





和 数字 (如 a、aa、aaa 和 aaaa 等 ) ; 中文 音节 〈 选 自 汉 语 拼音 字母 或 在 
英文 键盘 上 输入 中 文 的 国际 标准 系统 ) ; 《圣经 》 的 权威 英 译 本 ; 生物 
术语 ; 公用 的 粗话 〈 如 fuckyou、ibmsux 和 deadhead) ; 键盘 模式 (如 
qwerty、asdf 和 zxcvbn) ; 缩写 〈 如 roygbiv 一 -一 彩虹 的 七 种 颜色 和 
帮助 记忆 头 部 12 条 神经 的 东西 ) ;机 器 名 称 〈 可 从 
letc/hosts 中 获得 ); 莎士比亚 作品 中 的 人 物 、 戏 剧 和 地 点 ;常用 的 犹太 
语 ; 小 行星 名 称 和 Klein 以 前 发 表 的 技术 论文 中 搜集 到 的 单词 。 综 上 所 
述 ， 每 个 使 用 者 可 以 考虑 超过 66000 个 独立 的 单词 (舍弃 字典 内 外 复制 
HIEN 








ooottafagvah 


(3) 第 〈2) 步 得 到 的 单词 的 不 同 置换 形式 。 这 包括 使 第 一 个 字母 
大 写 或 作为 控制 符 ， 使 整个 单词 大 写 ;， 颠倒 单词 的 顺序 (不管 前 面 有 无 
大 写 ) ; 将 字母 0 换 成 数字 0《〈 使 得 单词 scholar 变 作 scholar) ; 将 字母 1 
换 成 数字 1 使 单词 scholar 变 成 scholar) ， 以 及 进行 同样 操作 将 字母 Z 换 
成 数字 2、S 换 成 5， 另 一 种 测试 是 将 单词 变 为 复数 形式 〈 不 管 它 是 否 为 
名 词 ) ， 非 常 聪 明 地 将 dress 变 为 dresses、house 变 为 houses、daisy 变 为 
daisies，Klein 并 不 考虑 复数 规则 ，datum 可 以 变 为 datums 〈 不 是 data) ~ 
sphynx 变 为 sphynxs (而 不 是 sphynges) ; 同样 ， 将 后 级 -ed、-er 和 -ing 加 
到 单词 上 ， 如 phase 变 为 phased、phaser 和 phasing。 这 些 附 加 的 测试 使 得 
每 一 位 使 用 者 可 能 的 口令 清单 增加 了 100 万 个 单词 。 


(4) 从 第 (2) 步 得 到 的 单词 的 不 同 的 大 写 置换 形式 ， 不 考虑 第 


(3) 步 。 这 包括 所 有 单字 母 的 单个 大 写 置换 (如 michael 可 换 为 
mIchael、miChael、michAel 等 ) ， 双 字母 大 写 置 换 (MIchael、 





MiChael、MicHael、...、mIChael、micHael 等 等 ) ; 三 字母 置换 ， 等 
等 。 对 于 每 一 个 使 用 者 ， 单 字母 置换 增加 了 大 约 40 万 个 单词 ， 双 字母 置 
换 增 加 150 万 个 单词 ， 三 字母 置换 增加 至 少 300 万 个 单词 。 必 须要 有 足够 
的 时 间 来 完成 测试 ， 测 试 完成 4、5、6 个 字母 的 置换 没有 充足 的 计算 
机 “马力 ”是 不 可 能 的 。 














(5) 对 外 国 用 户 要 尝试 外 语 单词 ， 对 有 中 文 名称 的 用 户 要 使 用 中 
文 口令 来 进行 特别 的 测试 。 汉 语 拼 音字 母 组 成 单 音节 、 双 音节 或 三 音节 
的 单词 ， 但 由 于 不 能 测试 确定 它们 是 否 实际 存在 ， 所 以 要 启动 穷 举 搜索 
(在 汉语 拼音 中 共有 298 个 音节 ，158404 个 双 音 节 词 ， 多 于 1600 万 个 三 
音节 词 ) 。 一 种 类 似 的 攻击 方式 ， 就 是 穷 举 构造 出 来 的 可 以 发 音 但 并 不 
存在 的 单词 ， 可 以 很 容易 地 被 用 于 英语 中 。 

















(6) 尝试 词组 。 上 自然 测试 所 耗费 的 数字 量 是 令 人 惊 情 的 。 为 了 简 
化 测试 ， 只 有 在 /usrdicVywords 中 存在 ， 且 仅 有 三 四 个 字母 长 的 才 被 测 
试 。 即 使 这 样 ， 词 组 数目 也 有 数 千 万 。 


当 字 典 攻击 被 用 于 破译 密 钥 文件 而 不 是 单个 密 钥 时 就 显得 更 加 有 
力 。 单 个 用 户 可 以 很 机 灵 地 选择 好 的 密 铀 ， 如 果 1000 个 人 各 上 自选 择 目 己 
的 密 钥 作为 计算 机 系统 的 口令 ， 那 么 至 少 有 一 个 人 将 选择 攻击 者 字典 中 
的 词 作为 密 钥 。 


8.1.3 ”随机 密 铀 


好 的 密 钥 是 指 那些 由 自动 处 理 设 备 产 生 的 随机 位 串 。 如 果 密 钥 为 64 
位 长 ， 每 一 个 可 能 的 64 位 密 钥 必 须 具 有 相等 的 可 能 性 。 这 些 密 钥 位 串 要 
么 从 可 靠 的 随机 源 中 产生 《〈 见 17.14 节 ) ， 要 么 从 安全 的 伪 随 机 位 发 生 
器 中 产生 《〈 见 第 16 章 和 第 17 章 ) 。 如 果 目 动 处 理 办 不 到 ， 就 抛 硬 币 或 掷 
ATIE ! 








EAE BE, AN BA TIVE T E UR EY BE LIRR A PE 
减产 生 的 噪声 谁 更 随机 。 这 些 随 机 噪声 源 都 不 是 很 完善 ， 但 己 经 足够 好 
了 。 用 一 个 好 的 随机 数 发 生 器 产生 密 钥 很 重要 ， 然 而 更 加 重要 的 是 要 有 
好 的 加 密 算法 和 和 密 钥 管理 程序 。 如 果 你 对 密 钥 的 随机 性 产生 怀疑 的 话 ， 
请 用 后 面 讲 的 密 钥 碾 雁 技术 。 











许多 加 密 算 法 都 有 弱 密 钥 : 特定 的 密 钥 往往 比 其 他 密 钥 的 安全 性 
普 。 建 议 对 这 些 弱 密 钥 进行 测试 ， 并 且 发 现 一 个 就 用 一 个 新 的 代 答 。 
DES 在 2” 个 密 钥 中 仅 有 16 个 弱 密 铀 ， 因 此 生成 这 些 密 钥 的 机 会 很 小 。 
己 经 证 明 ， 密 码 分 析 者 对 使 用 弱 密 钥 一 无 所 知 ， 因 而 也 就 不 能 从 这 个 偶 
然 的 使 用 中 获得 什么 ， 不 用 弱 密 钥 加 密 反 而 给 密码 分 析 者 提供 了 信息 。 
然而 ， 对 几 个 弱 密 钥 进 行 检测 非常 容易 ， 所 以 我 们 不 能 轻率 地 这 么 做 。 





对 公开 密 钥 密码 术 来 说， 产生 密 钥 更 加 困难 ， 因 为 密 钥 必须 满足 菏 
些 数 学 特征 〈 必 须 是 素数 的 、 二 次 剩余 的 等 ) 。11.5 节 讨论 了 产生 大 随 


机 素数 的 技术 。 从 密 钥 管理 的 观点 看 ， 发 生 器 的 随机 种 子 也 必须 是 随机 
的 ， 这 一 点 应 该 记 住 。 


产生 一 个 随机 密 钥 并 不 总 是 可 能 的 。 有 时 你 需要 记 住 密 钥 (看 你 用 
多 长 时 间 记 住 这 串 字符 : 25E856F2E8BAC820) 。 如 果 必 须 用 一 个 容易 
记忆 的 密 钥 ， 那 就 使 它 星 涩 难 懂 。 理 想 的 情况 是 该 密 钥 既 容 易 记 忆 ， 又 
难以 被 猜 中 。 下 面 是 一 些 建议 : 


:词组 用 标点 符号 分 开 ， 例 如 turtle*moose 或 者 zorch! splat. 


由 较 长 短语 的 首 字 母 组 成 字母 串 。 例 如 由 Mein Luftkissenfahrzeug 
ist Voller Aale! 产生 密 钥 MLivA! 。 


8.1.4 通行 短语 


一 个 比较 好 的 办 法 是 利用 一 个 完整 的 短语 代替 一 个 单词 ， 然 后 将 该 
短语 转换 成 密 钥 。 这 些 短语 称 为 通行 短语 (pass phrase) 。 一 项 称 为 密 
钥 碾 碎 Ckey crunching) 的 技术 可 以 把 容易 记忆 的 短语 转换 为 随机 密 
钥 ， 使 用 单 向 散 列 函 数 可 将 一 个 任意 长 度 的 文字 串 转换 为 一 个 伪 随 机 位 
串 。 





例如 ， 易 于 记忆 的 文本 串 : 


My name is Ozymandias, king of kings. Look on my works, ye mighty, and despair. 


可 以 被 碾 雄 成 一 个 64 位 的 密 钥 : 


e6c1 4398 5ae9 0a9b 


当然 ， 回 一 个 关闭 回 显 的 计算 机 输入 完整 的 短语 是 很 困难 的 ， 所 以 
需要 大 家 为 此 提出 好 建议 是 值得 推荐 的 。 


如 果 这 个 短语 足够 长 ， 那 么 所 得 到 的 密 钥 将 是 随机 的 。“ 足 够 长 ”的 
确切 含义 还 有 竺 解释。 信息论 告诉 我 们 ， 在 标准 的 英语 中 平均 每 个 字符 
含有 1.3 位 的 信息 (参见 11.1 节 ) 。 对 于 一 个 64 位 的 密 钥 来 说 ， 一 个 大 约 
有 49 个 字符 或 者 10 个 常见 英语 单词 的 通行 短语 应 当 是 足够 的 。 根 据 经 
验 ， 每 4 个 字 节 的 密 钥 就 需要 5 个 单词 。 这 是 保守 的 假设 ， 因 为 字母 的 大 
小 写 、 空 格 键 ， 以 及 标点 符号 都 没有 考虑 在 内 。 

















这 种 技术 甚至 可 为 公开 密 钥 密码 术 产 生 私人 密 钥 : SCAN SCRE 
一 个 随机 种 子 ， 将 该 种 子 输入 到 一 个 确定 性 系统 后 束 能 产生 公开 密 钥 / 
私人 密 钥 对 。 


如 果 你 正 打 算 选 择 一 个 通行 短语 ， 那 么 束 选 择 独 特 而 容易 记忆 的 ， 
最 好 别 在 文学 著作 里 面 选 取 一 一 如 Ozyrmndias 就 很 差 。 莎 士 比 亚 的 全 本 
著作 和 《星球 大 成 》 里 的 对 话 都 在 线 提供 ， 并 且 很 容易 用 来 进行 字典 攻 
击 。 要 选择 难 懂 但 有 个 性 的 词 ， 包 括 一 些 标点 符号 和 大 写字 母 。 如 果 能 
够 ,还 可 以 包括 数字 和 非 字母 符号 。 糟 糕 的 或 者 不 正确 的 英语 ， 甚 至 一 
门 外 语 都 会 使 通行 短语 对 字典 攻击 缺乏 敏感 性 。 对 使 用 通行 短语 有 一 个 




















建议 就 是 “ 鬼 扯 ?: 容易 记 住 但 不 可 能 被 写 出 的 胡言 乱 语 。 





不 管 上 面 怎么 叙述 ， 难 懂 绝 不 是 真正 随机 的 代 瞪 品 。 最 好 的 密 钥 还 
征 随 机 密 钥 ， 尽 管 很 难 记 住 。 


8.1.5 X9.17% 4r Æ 
ANSI X9.17 标 准 规定 了 一 种 密 钥 产生 方法 〈 见 图 8-1) 1551 。 它 并 


不 产生 容易 记忆 的 密 钥 ， 而 更 适合 在 一 个 系统 中 产生 会 话 密 钥 或 伪 随 机 
数 。 用 来 产生 密 钥 的 加 密 算法 是 三 重 DES， 它 就 像 其 他 算法 一 样 容 易 。 








图 8-1 ANSI X9.17 密 针 


设 Ek (X) 表示 用 密 钥 K 对 X 进 行 三 重 DES 加 密 。 开 是 为 密 钥 发 生 器 
保留 的 一 个 特殊 密 钥 。Vo 是 一 个 秘密 的 64 位 种 子 ，T 是 一 个 时 间 标 记 。 
为 了 产生 随机 密 钥 Ri ， 计 算 : 


R; = Ex Eel) tO Ve 
为 了 产生 Vi ， 计 算 : 
View 一 一 Ex CExCT;) © R,) 


为 了 把 Ri 转换 为 DES 密 钥 ， 简 单 地 调整 每 一 个 字 节 第 8 位 奇偶 性 就 
可 以 。 如 果 你 需要 一 个 64 位 密 钥 ， 按 上 面 计算 就 可 以 得 到 。 如 果 你 需要 
一 个 128 位 密 钥 ， 产 生 一 对 密 钥 后 再 把 它们 串 接 起 来 。 


8.1.6 DoD 密 钥 产生 


美国 国防 部 建议 用 DES 在 OFB 方 式 〈 人 参见 9.8 节 ) 下 产生 随机 密 钥 
1144) 。 由 系统 中 断 向 量 、 系 统 状态 寄存 器 和 系统 计数 器 产生 DES 密 
钥 ， 由 系统 时 钟 、 系 统 ID 号 、 日 期 和 时 间 产 生 初 始 化 向 量 。 明 文采 用 外 
部 产生 的 64 位 量 : 如 系统 管理 员 键 入 的 8 个 字符 。 这 样 ， 其 输出 就 可 作 
为 密 钥 。 


82 IPART 








假设 你 是 一 个 军事 密码 组 织 ， 为 手下 制造 了 一 批 加 密 设备 。 你 想 使 
用 一 个 安全 的 算法 ,但 又 怕 这 些 设备 落 入 政和 人 手 里 。 最 后 你 想 做 的 束 是 
敌人 能 够 用 这 些 设 备 保 护 “ 他 们 ”的 秘密 。 


如 果 能 将 你 的 算法 加 入 到 一 个 防 帘 改 模块 中 ， 则 可 以 要 求 有 特殊 保 
密 形式 的 密 钥 ， 而 其 他 密 铀 都 会 引起 模块 用 非常 弱 的 算法 加 密 和 解密 。 
你 这 样 做 可 以 使 那些 不 知道 这 个 特殊 形式 的 人 偶然 碰 到 正确 密 钥 的 机 会 
LENE. 


这 就 是 所 谓 的 非 线 性 密 钥 空 间 «(nonlinear keyspace) ， 因 为 所 有 密 
钥 的 强壮 程度 并 不 相等 。〔 与 之 相对 应 的 是 线性 (inear) 或 平坦 
(flat〉 和 密 钥 空间 。) 可 以 用 一 种 很 简单 的 方法 ， 即 按照 两 部 分 来 生成 
密 钥 : 密 钥 本 身 和 用 该 密 钥 加 密 的 某 个 固定 字符 串 。 模 块 用 这 个 密 钥 对 
字符 串 进行 解密 ， 如 果 不 能 得 到 这 个 固定 的 字符 串 ， 则 用 另 一 个 不 同 的 
弱 算 法 。 如 果 该 算法 有 一 个 128 位 的 密 钥 和 一 个 64 位 的 字符 块 ， 密 钥 总 
长 度 为 192 位 ， 那 么 共有 有 效 密 钥 2128 个 ， 但 是 随机 选择 一 个 好 密 钥 的 
机 会 却 成 了 1/2% 。 


可 以 设计 一 种 算法 使 菜 些 密 钥 比 其 他 密 钥 更 好 。 一 个 没有 弱 密 铀 ， 
至 少 没 有 明显 级 密 钥 的 算法 仍然 可 以 有 非 线性 密 钥 空间 。 





使 用 非 线 性 密 钥 空 间 仅 当 在 算法 是 安全 的 ， 并 且 敌 人 不 能 对 其 进行 
反 控制 ， 或 者 密 钥 强度 的 差异 足够 细微 以 至 于 敌人 不 能 计算 出 来 时 才 可 
行 。NSA 对 Overtake 模 块 中 的 安全 算法 进行 非 线 性 密 钥 空间 的 使 用 ( 参 
见 25.1 节 ) 。 他 们 会 不 会 对 Skipjack 算 法 (参见 13.12 节 )〉 做 同样 的 事情 
呢 ? 没 人 知道 。 


8.3 ”传输 密 铀 


Alice 和 Bob 采 用 对 称 加 密 算 法 进行 保密 通信 : 他 们 需要 同一 个 密 
钥 。Alice 使 用 随机 密 钥 发 生 器 产生 一 个 密 钥 ， 然 后 必须 安全 地 送 给 
Bob。 如 果 她 能 在 某 个 地 方 碰见 Bob 一 个 企 静 的 小 花 ， 一 个 无 窗户 的 
小 屋 或 者 木星 的 茶 个 卫星 上 ) ， 她 能 将 密 钥 副本 交 给 他 ， 人 否则 就 会 出 问 
题 。 公 开 密 钥 密 码 术 用 最 小 的 预先 安排 可 以 很 好 地 解决 这 个 问题 ， 但 是 
这 项 技术 并 不 总 是 有 效 〈 参 见 3.1 节 ) 。 菏 些 系 统 使 用 公认 安全 的 备用 
信道 ，Alice 可 以 通过 一 个 可 靠 的 通信 员 把 密 钥 传送 给 Bob， 也 可 以 用 合 
格 的 邮政 或 通宵 传递 业务 来 传送 。 或 者 ， 她 可 能 同 Bob 一 起 建立 另 一 个 
希望 无 人 禄 听 的 通信 信道 。 











Alice 可 以 通过 他 们 加 蜜 的 通信 信道 把 对 称 密 钥 送 给 Bob。 但 这 是 昌 
友 的 。 如 果 信 道 能 够 保证 加 密 ， 那 么 在 同一 个 信道 上 发 送 加 密 密 钥 就 能 
够 保证 在 该 信道 上 的 任何 馅 听 者 都 能 破解 全 部 通信 。 


X9.17 标 准 95) 描述 了 两 种 密 钥 : 密 钥 加 密 密 钥 和 数据 密 钥 。 密 
HIE H (key-encryption key) 加 密 其 他 需要 分 发 的 密 钥 ， 而 数据 密 
钥 Cdatakey) 只 对 信息 序列 进行 加 密 。 除 少数 外 ， 密 钥 加 密 密 钥 必须 
进行 手动 分 及 尽管 也 可 在 一 个 防 窜改 设备 里 安全 进行 ， 如 智能 卡 〉。 
数据 密 钥 的 分 发 更 加 频 莹 ， 更 多 细节 参见 文献 [75」， 密 钥 分 发 中 用 到 





了 这 两 种 密 钥 的 概念 。 


对 密 钥 分 发 问题 的 另 一 个 解决 方法 是 将 密 钥 分 成 许多 不 同 的 部 分 
(参见 3.6 节 ) ， 然 后 用 不 同 的 信道 发 送出 去 : 有 的 通过 电话 ， 有 的 通 
过 邮寄 ， 有 的 还 可 以 通过 通宵 专递 或 信和 铅 传 书 等 〈《 见 图 8-2) 。 即 使 截 
获 者 能 收集 到 密 钥 ， 但 缺少 某 一 部 分 ， 他 仍然 不 知道 密 钥 是 什么 ， 所 以 
该 方法 可 以 用 于 除 个 别 特殊 情况 外 的 任何 场合 。3.6 节 讨论 了 拆 分 密 钥 
的 有 关 方 案 。Alice 其 至 可 以 用 秘密 共享 方案 (参见 3.7 市 )， 人 允许 Bob 在 
传输 过 程 丢失 部 分 密 钥 时 能 重 构 完整 密 钥 。 








Alice 可 以 面对面 地 或 者 用 刚 讨论 过 的 密 钥 拆 分 技术 将 密 钥 加 密 密 钥 
传送 给 Bob， 一 旦 他 们 两 人 同时 拥有 了 该 密 钥 ，Alice 就 可 以 先 用 它 对 每 
天 的 数据 密 钥 进行 加 密 ， 然 后 在 同一 信道 上 把 它 传送 给 Bob。 由 于 用 密 
钥 加 密 密 钥 对 大 量 的 数据 加 密 速度 非常 慢 ， 所 以 它 不 需要 经 党 改动 。 然 
而 ,一 有 旦 密 钥 加 密 密 钥 遭 到 损害 ， 那 些 用 它 加 密 的 密 钥 加 密 的 所 有 信息 
就 会 受到 损害 ， 所 以 必须 对 它 进 行 安 全 的 存储 。 








接收 方 
AAT ae 


大 型 网 络 的 密 钥 分 发 


在 小 型 网 络 中 ， 每 对 用 户 可 以 很 好 地 使 用 密 钥 加 密 密 钥 。 如 果 网 络 
变 大 ， 将 很 快 变 得 令 人 讨厌 。 因 为 每 对 用 户 必 须 交 换 密 钥 ，n 个 人 网 络 
总 的 交换 次 数 为 n (n-1) /2。 





6 个 人 网 络 需 交换 15 次 密 钥 ，1000 个 人 网 络 则 需 近 50 万 次 。 在 这 种 
情况 下 ， 创 建 一 个 中 央 密 钥 服 务 器 (或 服务 占 组 ) 会 使 操作 更 加 有 效 。 





男 外 ， 在 3.1 市 中 讲 到 的 对 称 密 码 术 或 公开 密 钥 密码 术 协 议 都 提供 
了 安全 的 密 钥 分 发 。 


8.4 ”验证 密 针 


当 Bob 收 到 密 钥 时 ， 他 如 何 知道 这 是 Alice 传 送 的 而 不 是 其 他 人 伪装 
成 Alice 传 送 的 呢 ? 如 果 是 Alice 杀 目 递 给 他 的 ， 那 自然 简 单 ， 如 宁 Alice 
通过 可 靠 的 信使 传送 密 钥 ，Bob 必 须 相信 信 使， 如 果 密 钥 由 密 钥 加 密 密 
钥 加 密 ，Bob 必 须 相 信 只 有 Alice 才 拥有 那个 加 密 密 钥 ;如 果 Alice 运 用 数 
字 签 名 协议 来 给 密 钥 签名 ， 那 么 当 Bob 验 证 签名 时 就 必须 相信 公开 密 钥 
数据 库 ， 如 果 某 个 KDC 在 Alice 的 公开 密 钥 上 签名 ，Bob 必 须 相 信 KDC 的 
公开 密 钥 副本 不 曾 被 窜改 过 。 


结果 ， 控 制 了 Bob 整 个 网 络 的 人 都 能 够 蒙骗 Bob。Mallory 可 以 传送 
一 个 加 密 和 签名 的 消息 而 将 它 伪装 成 来 自 Alice。 当 Bob 试 图 访问 公开 密 
钥 数 据 库 以 验证 Alice 的 签名 时 ，Mallory 可 以 用 他 自己 的 公开 密 钥 来 代 
蔡 。 他 可 以 发 明 自己 的 假 KDC， 并 把 真正 的 KDC 公 开 密 钥 换 成 他 自己 
的 公开 密 钥 。Bob 不 会 察觉 。 


利用 该 缺陷 的 一 些 人 声称 公开 密 钥 密码 术 是 无 用 的 。 既 然 Alice 与 
Bob 保 证 他 们 密 钥 不 被 窜改 的 唯一 方式 是 面对面 交换 ， 那 么 公开 密 钥 密 
码 术 对 提高 安全 性 一 点 用 处 也 没有 。 








这 种 观点 是 幼稚 的 。 理 论 上 ， 这 种 说 法 是 错误 的 ， 但 实际 情况 却 复 
杂 得 多 。 采 用 数字 签名 和 可 信赖 KDC 的 公开 密 钥 密码 术 ， 使 得 用 一 个 密 


钥 代 蔡 另 一 个 密 钥 变 得 非常 困难 ，Bob 从 来 都 不 能 绝对 肯定 Mallory 没 有 
控制 他 的 整个 网 络 ， 但 他 相信 那样 做 需要 Mallory 能 够 访问 比 他 实际 上 
能 访问 到 的 资源 多 得 多 的 资源 。 


Bob 可 以 通过 电话 验证 Alice 的 密 钥 ， 那 样 他 可 以 听 到 她 的 声音 。 声 
音 辨 别 是 一 个 真正 好 的 鉴别 方案 。 如 果 这 是 一 个 公开 密 钥 ， 那 么 他 可 以 
当 着 大 家 的 面 通过 电话 安全 地 背诵 出 来 。 如 果 是 一 个 秘密 密 钥 ， 他 就 用 
一 个 单 向 散 列 函数 来 验证 密 钥 。PGP (参见 24.12 节 ) 和 AT&TTSD ( 参 
见 24.18 节 ) 就 是 用 这 种 方法 对 密 钥 进行 验证 的 。 





有 了 时， 验证 一 个 公开 密 钥 到 底 属 于 谁 并 不 重要 ， 而 验证 它 是 舍 属 于 
去 年 的 同一 个 人 或 许 是 有 必要 的 。 如 果 茶 人 发 送 了 一 个 已 签名 提 亚 的 信 
恩 到 银行 ， 银 行 并 不 关心 到 底 谁 来 提 球 ， 它 仪 关心 是 否 与 第 一 次 来 存 球 
的 人 属 同一 个 人 。 








8.4.1 ” 密 钥 传输 中 的 错误 检测 








有 时 密 钥 在 传输 中 会 发 生 错误 。 密 钥 错误 就 意味 着 大 量 的 密 文 无 法 
解密 ， 所 以 这 是 一 个 问题 。 所 有 的 密 钥 必须 附着 一 些 检 错 和 纠 错位 来 传 
输 。 这 样 ， 密 钥 在 传输 中 的 错误 很 容易 被 检测 出 来 ， 并 且 如 果 需 要 ， 密 
钥 可 被 重 传 。 


最 广泛 采用 的 一 种 方法 是 用 密 钥 加 密 一 个 常数 ， 然 后 把 密 文 的 前 2 


一 4 字 节 与 密 钥 一 起 发 送 。 在 接收 端 ， 做 同样 的 工作 ， 如 果 接 收 端 加 密 
后 的 常数 能 与 发 送 端的 常数 匹配 ， 则 传输 无 错 。 检 测 不 出 错误 的 概率 在 
1/216 ~1/2?? 之 间 。 


8.4.2 ”解密 过 程 中 的 错误 检测 





有 时 接收 者 想 检 测 他 拥有 的 某 个 密 钥 是 否 是 正确 的 对 称 解 密 密 铀 。 
如 果 明 文 与 ASCII 码 类 似 ， 他 就 尝试 解密 并 阅读 它 。 如 果 得 到 的 明文 是 
随机 的 ， 那 么 密 钥 就 有 问题 。 


最 简单 的 方法 是 附加 一 个 验证 分 组 (verification block) : 加 密 之 
前 给 明文 添加 一 个 已 知 的 标题 。 在 接收 端 ，Bob 解 密 标题 ， 并 验证 它 的 
正确 性 。 这 是 可 行 的 ， 但 是 它 却 给 Eve 提供 了 已 知 的 明文 来 帮助 分 析 密 
码 系统 ， 也 使 得 对 DES 这 样 的 短 密 钥 密 文 和 对 所 有 可 出 口 的 密码 攻击 变 
得 容易 。 一 旦 对 每 个 密 钥 的 校 验 和 进行 了 预计 算 ， 就 可 以 用 它 来 确定 之 
后 截取 到 的 任何 信息 的 密 钥 。 这 就 是 校 验 和 的 特性 ， 它 不 包含 随机 数 
据 ， 至 少 在 每 一 个 校 验 和 中 没有 随机 数据 。 当 利用 通行 短语 产生 密 钼 
时 ， 它 在 概念 上 类 似 于 使 用 salt。 








下 面 是 更 好 的 方法 [821] ， 


C1) 产生 一 个 初始 化 同 量 IV 〈 不 用 于 消息 ) 。 


(2) 用 该 初始 化 向 量 IV 产 生 一 个 大 的 位 块 ， 如 512 位 。 


(3) 进行 单 问 散 列 运算 。 


(4) 使 用 散 列 运算 结果 的 相同 固定 位 《〈 如 32 位 ) 作为 密 钥 校 验 
和 。 


这 种 方法 不 可 避免 地 给 Eve 提供 一 些 信息 ， 但 非常 少 。 如 果 她 试图 
利用 最 后 散 列 值 的 低 32 位 采取 穷 举 攻击 ， 她 必须 进行 多 重 加 密 并 对 每 一 
个 候选 密 钥 做 散 列 运算 ， 对 密 钥 本 身 进 行 穷 举 攻 击 将 更 迅速 。 


她 也 得 不 到 更 多 的 已 知 明文 信息 以 供 攻 击 ， 即 使 她 能 设法 选中 随机 
值 ， 她 也 得 不 到 明文 ， 因 为 它 已 经 在 她 看 到 之 前 被 散 列 运算 了 。 


8.5 EHT 





软件 加 密 是 可 怕 的 。 一 台 微 机 在 一 种 程序 控制 下 的 时 代 已 过 去 了 。 
现在 有 Macintosh 系 统 7、Windows NT 和 UNIX， 谁 也 说 不 准 什么 时 候 操 
作 系 统 将 会 中 止 加 密 的 运行 ， 而 将 一 些 东 西 写 在 磁盘 上 或 者 处 理 另外 一 
些 急需 的 工作 。 当 操作 系统 最 后 回 过 头 后 继续 进行 加 密 工 作 时 ， 一 切 好 
像 还 是 那么 好 。 没 有 谁 意 识 到 操作 系统 已 把 加 密 应 用 程序 写 到 磁盘 上 ， 
并 同时 将 密 钥 也 写 了 下 来 。 这 些 密 钥 未 被 加 密 ， 在 计算 机 重新 履 盖 那个 
存储 区 之 前 它 一 直 留 在 磁盘 上 ， 或 许 几 分 钟 ， 或 许 几 个 月 ， 甚 至 永远 。 
当 攻 击 者 采用 好 的 工具 彻底 搜索 该 硬盘 驱动 器 时 ， 密 钥 可 能 还 在 那里 。 
在 一 个 可 抢先 的 、 多 任务 环境 中 ， 你 可 以 给 你 的 加 密 操 作 设置 足够 高 的 
优先 权 以 防止 被 中 断 。 尽 管 这 样 可 以 减轻 危险 度 ， 但 仍 有 风险 。 

















硬件 实现 更 安全 。 如 果 受 到 损害 ， 许 多 加 密 设 备 被 设计 成 能 够 擦 除 
密 钥 ， 例 如 IBM PS/2 加 密 卡 有 一 个 包含 DES 心 片 、 电 池 和 内 存 的 环 氧 单 
元 。 当 然 ， 你 必须 相信 硬件 制造 者 正确 地 实现 了 这 些 特 征 。 


在 茶 些 通 信和 应 用 中 ， 如 电话 加 密 机 ， 可 以 使 用 会 话 密 钥 。 会 话 密 钥 
征 指 用 于 一 次 通信 会 话 《〈 一 次 单独 的 电话 通话 ) ， 通 话 完毕 就 抛弃 的 密 
钥 。 这 种 密 钥 使 用 一 次 后 不 再 存储 ， 并 且 如 果 你 使 用 一 些 密 钥 交换 协议 
将 密 钥 从 一 端 传送 到 另 一 端 ， 在 使 用 之 前 也 不 会 被 存储 。 这 样 就 减 小 密 








钥 被 损害 的 可 能 性 。 


控制 密 钥 使 用 


在 一 些 应 用 中 控制 怎样 使 用 会 话 密 钥 是 有 意义 的 。 有 的 用 户 需 要 它 
或 许 仅仅 是 为 了 加 密 ， 有 的 或 许 是 为 了 解密 ， 而 会 话 密 钥 应 该 被 授权 仪 
用 于 某 个 特定 机 器 或 时 间 。 运 用 这 些 限 制 的 一 个 方案 是 在 密 钥 后 面 附加 
一 个 控制 向 量 (Control Vector, CV) 一 一 用 它 来 标定 密 钥 的 使 用 和 限 
制 (参见 24.1 节 ) 【1025、1026]。 对 CV 取 单 向 散 列 运 算 ， 然 后 与 主 密 铀 
异 或 ， 把 得 到 的 结果 作为 密 钥 对 会 话 密 钥 进行 加 密 ， 再 把 合成 的 加 密会 
话 密 钥 与 CV 存储 在 一 起 。 恢 复 会 话 密 钥 时 ， 对 CV 取 散 列 运算 再 与 主 密 
钥 异 或 ， 最 后 用 结果 进行 解密 。 








该 方案 的 好 处 是 CV 可 以 任意 长 ， 并 且 总 是 以 明 的 方式 与 加 密 的 密 
钥 一 起 存储 。 本 方案 假定 硬件 防 窜改 和 用 户 不 能 直接 得 到 密 钥 。 本 系统 


进一步 的 讨论 请 参见 24.1 节 和 24.8 节 。 


8.6 EJT 4H 


设想 你 每 天 都 想 改 变 加 密 的 数据 链 路 的 密 铀 。 有 时 ， 每 天 进行 新 的 
密 钥 分 发 的 确 是 一 件 痛 苗 的 事 。 更 容易 的 解决 办 法 是 从 旧 的 密 钥 中 产生 
新 的 密 钥 ， 有 时 称 为 密 钥 更 新 (key updating) 。 


更 新 密 钥 使 用 的 是 单 辐 函数 。 如 果 Alice 和 Bob 共 至 同一 个 密 钥 ， 并 
用 同一 个 单 癌 函数 进行 操作 ， 他 们 融会 得 到 相同 的 结果 。 那 么 他 们 就 可 
以 从 结果 中 得 到 所 需要 的 数据 来 产生 新 的 密 钥 。 


密 钥 更 新 是 可 行 的， 但 记 住 新 密 钥 只 是 与 旧 密 钥 一 样 安 全 。 如 果 
Eve 能 够 得 到 旧 密 钥 ， 她 自己 可 以 完成 密 钥 更 新 功能 。 然 而 ， 如 果 Eve 得 
不 到 旧 密 钥 ， 并 试图 对 加 密 的 数据 序列 进行 唯 密 文 攻击 ， 那 对 Alice 和 
Bob 来 说 这 是 一 个 很 好 地 保护 他 们 数据 的 方法 。 


8.7 FERH 





最 不 复杂 的 密 钥 存储 问题 是 单 用 户 的 密 钥 存储 ，Alice 加 密 文 件 以 备 
以 后 用 。 因 为 只 涉及 她 一 个 人 ， 所 以 只 有 她 一 个 人 对 密 钥 负 贡 。 某 些 系 
统 采用 简单 方法 : 密 钥 存储 于 Alice 的 脑子 中 ， 而 绝 不 放 在 系统 中 ， 
Alice 只 需 记 住 密 铀 ， 并 在 需要 对 文件 加 密 或 解密 时 输入 。 


该 系统 的 一 个 例子 是 IPS (881) 。 用 户 可 直接 输入 64 位 密 钥 ， 或 者 
输入 一 个 更 长 的 字符 串 ， 系 统 目 动 通过 密 钥 碾 碎 技术 从 这 个 字符 串 产 生 
64 位 密 钥 。 








其 他 解决 方案 有 : 将 密 钥 存储 在 磁 条 卡 中 ， 使 用 嵌入 ROM 芯 片 的 
塑料 密 钥 〈 称 为 ROM 密 钥 ROM, key) 或 智能 卡 [556、557、455] 。 用 
户 先 将 物理 标记 插入 加 密 箱 或 连 在 计算 机 终端 上 的 特殊 读 入 装置 中 ， 然 
后 把 密 钥 输入 系统 中 。 当 用 户 使 用 这 个 密 钥 时 ， 他 并 不 知道 它 ， 也 不 能 
泄露 它 ， 他 只 能 用 这 种 方法 使 用 它 。 


ROM 密 钥 是 一 个 很 聪明 的 主意 。 人 们 已 经 对 物理 钥匙 很 熟悉 了 ， 
知道 它们 意味 着 什么 和 怎样 保护 它们 。 将 一 个 加 密 密 钥 做 成 同样 的 物理 
形式 就 会 使 存储 和 保护 它 更 加 的 直观 。 把 密 钥 平分 成 两 部 分 ， 一 半 存 入 
终端 、 男 一 半 存 入 ROM 密 钥 使 得 这 项 技术 更 加 安全 。 美 国政 府 的 STU- 
II 保密 电话 就 是 用 的 这 种 方法 。 丢 失 了 ROM 徐 钥 并 不 能 使 加 密 密 钥 受 


到 损害 一 一 换 掉 它 一 切 就 正常 如 初 ， 丢 失 终 疹 密 钥 情 况 也 如 此 。 这 样 ， 
两 者 之 一 被 损害 都 不 能 损害 整个 密 钥 一 一 收 人 必须 两 部 分 都 有 才 行 。 











可 采用 类 似 于 密 钥 加 密 密 钥 的 方法 对 难以 记忆 的 密 钥 进行 加 密 保 
存 。 例 如 ，RSA 私 人 密 钥 可 用 DES 密 钥 加 密 后 存储 在 磁盘 上 。 要 恢复 密 
钥 时 ， 用 户 只 需 把 DES 密 钥 输 入 到 解密 程序 中 即 可 。 








如 采 密 钥 是 确定 性 地 产生 的 《使 用 密码 学 上 安全 的 伪 随 机 序列 发 生 
at) ， 那 么 每 次 需要 时 从 一 个 容易 记 住 的 口令 产生 出 密 钥 会 更 加 简单 。 


理想 的 情况 是 密 钥 永远 也 不 会 以 未 加 密 的 形式 暴露 在 加 蜜 设施 外 。 
这 始终 是 不 可 能 的 ， 但 是 可 以 将 此 作为 一 个 非常 有 价值 的 奋斗 目标 。 


8.8 备份 密 铀 


Alice 是 保密 有 限 公司 的 首席 财政 官员 一 一 “我 不 能 告诉 你 我 们 的 秘 
密 ”， 像 任何 好 的 公司 官员 一 样 ， 她 遵守 公司 的 保密 规则 ， 把 所 有 数据 
都 加 密 。 不 蔷 的 是 ， 她 没 注意 到 公司 旁边 的 过 街 警告 线 而 被 一 辆 卡车 撞 
倒 了 。 公 司 的 董事 长 ，Bob 该 怎么 办 呢 ? 





除非 Alice 留 下 了 密 钥 的 副本 ， 人 否则 Bob 朵 烦 就 大 了 。 加 密 的 意义 束 
征 使 文件 在 没有 密 钥 时 不 能 恢复 。 除 非 Alice 是 弱智 ， 并 用 糟糕 透 项 的 加 
密 软件 ， 否 则 她 的 文件 便 永远 地 丢失 了 。 





Bob 有 几 种 方法 可 避免 这 种 事情 发 生 。 最 简单 的 方法 ， 有 时 称 密 铀 
托管 方案 (key escrow) ( 见 4.14 节 ) : 他 要 求 所 有 雇员 将 自己 的 密 钥 
写 下 来 交 给 公司 的 安全 官 ， 由 安全 官 将 文件 锁 在 某 个 地 方 的 保险 柜 里 
(或 用 主 密 钥 对 它们 进行 加 密 )〉 。 现 在 ， 当 Alice 在 州 际 公路 上 被 撞 倒 
后 ，Bob 可 向 他 的 安全 官 索取 她 的 密 铀 。Bob 保 证 自己 也 可 以 打开 保险 
箱 ; 否则 ， 如 果 安 全 官 被 男 一 辆 卡车 撞 倒 了 ，Bob 只 得 再 次 倒 考 。 





与 密 钥 管理 相关 的 问题 是 ，Bob 必 须 相信 他 的 安全 官 不 会 滥用 任何 
人 的 密 钥 。 更 重要 的 是 ， 所 有 雇员 都 必须 相信 安全 官 不 会 滥用 他 们 的 密 
钥 。 一 个 更 好 的 方法 是 采用 一 种 秘密 共享 协议 《参见 3.7 节 ) 。 


当 Alice 产 生 密 钥 时 ， 她 将 密 钥 分 成 多 片 ， 然 后 她 把 每 片 《当然 加 
密 ) 发 给 不 同 的 公司 官员 。 单 独 的 任何 一 片 都 不 是 密 铀 ， 但 是 洒 人 可 以 
搜集 所 有 的 密 钥 片 ， 并 重新 把 密 钥 恢 复出 来 。 于 是 ，Alice 对 任何 恶意 
做 了 防备 ，Bob 也 对 Alice 被 撞 引 起 的 数据 丢失 做 了 预防 。 或 者 ， 她 可 以 
用 每 一 位 官员 不 同 的 公开 密 钥 把 不 同 的 片 加 密 ， 然 后 存 入 自己 的 硬盘 
中 。 这 样 在 需要 进行 密 钥 管理 之 前 ， 没 有 人 介入 密 钥 管理 中 。 











另 一 个 备份 方案 是 用 智能 卡 〈 人 参见 24.13 节 ) 作为 临时 密 钥 托管 
L188] 。Alice 把 加 密 她 硬盘 的 密 钥 存 入 智能 卡 ， 当 她 不 在 时 就 把 它 交 给 
Bob。Bob 可 以 利用 该 卡 进入 Alice 的 硬盘 ， 但 是 由 于 密 钥 存储 在 卡 中 ， 
所 以 Bob 不 知道 密 钥 是 什么 。 并 且 系 统 具 有 双向 审计 功能 : Bob 可 以 验 
证 智能 卡 能 否 进 入 Alice 的 硬盘 ， 当 Alice 回 来 后 可 以 检查 Bob 是 否 用 过 该 
密 钥 ， 并 用 了 多 少 次 。 











这 样 的 方案 对 数据 传输 来 说 是 坚 无 意义 的 。 对 于 保密 电话 ， 密 钼 在 
通话 的 时 间 有 效 ， 以 后 就 无 效 了 。 像 刚才 描述 的 那样 ， 对 数据 存储 来 
说 ， 密 钥 托管 方案 可 能 是 一 个 好 主意 。 虽 然 我 的 记忆 力 比 大 多 数 人 都 
好 ， 但 大 约 每 阳 5 年 我 束 丢 失 一 把 钥 是 。 如 果 2 亿 人 都 用 密码 ， 那 么 按 这 
个 概率 每 年 约 有 4000 万 个 密 钥 丢失 。 我 把 另 一 把 房 门 钥匙 放 到 邻居 那里 
以 防止 把 它 弄 丢 。 如 果 房 门 钥匙 束 像 密 钥 一 样 让 我 给 于 了 ， 那 我 永远 也 
不 能 进入 房子 ， 并 挽回 财产 了 。 就 像 我 把 数据 换个 地 方 备份 一 样 ， 对 数 
据 加 密 密 钥 进 行 备份 是 非常 有 意义 的 。 


8.9 ie 4H 


本 书 中 所 有 的 协议 、 技 术 、 算 法 仅 当 在 密 钥 〈 公 开 密 钥 系统 中 的 私 
人 密 钥 ) 保密 的 情况 下 安全 。 如 果 Alice 的 密 钥 竺 失 、 被 盗 、 出 现在 报纸 
上 或 以 其 他 方式 泄露 ， 则 她 所 有 的 保密 性 都 失去 了 。 


如 果 泄 露 了 称 密码 系统 的 密 钥 ，Alice 必 须 更 换 密 钥 ， 并 希望 实际 损 
失 最 小 。 如 果 是 一 个 私人 密 钥 ， 问 题 就 大 了 ， 她 的 公开 密 钥 或 许 就 在 所 
有 网 络 的 服务 器 上 。Eve 如 果 得 到 了 Alice 的 私人 密 钥 ， 她 就 可 以 在 网 络 
上 冒充 Alice: 读 加 密 邮 件 、 对 信件 签名 、 签 合同 等 。Eve 能 很 有 效 地 变 
成 Alice。 

















私人 密 钥 泄露 的 消息 通过 网 络 迅速 昌 延 是 最 致命 的 。 任 何 公开 密 铀 
数据 库 必 须 立 即 声明 一 个 特定 私人 密 钥 被 泄露 ， 以 免 有 人 用 该 泄露 的 密 
钥 加 密 消 妃 。 


希望 Alice 能 知道 她 的 密 钥 是 何 时 泄露 的 。 如 果 KDC 正 在 管理 密 
钥 ，Alice 应 该 通知 它 密 钥 已 经 泄露 。 如 果 没 有 KDC， 她 就 要 通知 所 有 
可 能 接收 她 消息 的 人 。 有 人 应 该 公布 在 丢失 密 钥 之 后 再 收 到 她 的 任何 消 
息 都 是 值得 怀疑 的 ， 以 及 其 他 人 也 不 应 该 再 用 与 丢失 密 钥 相对 应 的 公开 
密 钥 给 Alice 发 送 消 息 。 实 际 应 用 中 应 该 采用 各 种 时 间 标 记 ， 这 样 用 户 就 
能 识别 哪些 消息 是 合法 的 ， 哪 些 是 值得 怀疑 的 。 





如 果 Alice 不 知道 她 的 密 钥 泄露 的 确切 时 间 ， 事 情 就 难 办 多 了 。 
Alice 要 求 撕毁 合同 ， 因 为 偷 密 钥 者 骨 名 代 答 她 签 了 名 。 如 宁 系 统 多 许 这 
样 ， 那 么 任何 人 都 可 以 以 密 钥 已 泄露 为 由 在 签名 前 斯 毁 合同 。 这 对 于 裁 
决 者 来 说 的 确 是 一 个 难题 。 














这 是 非常 严重 的 问题 ， 并 且 它 给 Alice 带 来 一 个 危险 信号 : 将 所 有 身 
份 约束 到 一 个 单一 密 钥 上 。 对 Alice 来 说 ， 对 于 不 同 的 应 用 ， 使 用 不 同 的 
密 钥 会 更 好 ”就 像 她 钱柜 上 不 同 的 锁 有 不 同 的 钥匙 一 样 。 该 问题 的 其 
他 解决 办 法 包括 :生物 统计 学 、 限 制 密 钥 的 作用 、 时 间 延 迟 和 会 签 等 。 


这 些 程序 和 建议 很 难说 是 完善 的 ， 但 这 和 是 我 们 能 做 得 最 好 的 解决 办 
法 。 所 有 这 些 目的 束 是 为 了 保护 密 钥 ， 其 中 最 重要 的 是 保护 私人 密 铀 。 





8.10 ” 密 铀 有效 期 


没有 哪个 加 密 密 钥 能 无 限期 使 用 ， 它 应 当 和 护照 、 许 可 证 一 样 能 够 
自动 失效 。 原 因 如 下 : 


` 密 钥 使 用 时 间 越 长 ， 它 泄露 的 机 会 就 越 大 。 人 和 人们 会 写 下 密 钥 ， 也 
会 丢失 它 ， 侦 然 事 件 也 会 发 生 的 。 如 果 你 使 用 一 年 ， 那 泄露 的 可 能 性 比 
你 使 用 一 天 要 大 得 多 。 


-如果 密 钥 已 泄露 ， 那 么 密 钥 使 用 越 入 ， 损 失 就 越 大 。 如 有 果 密 钥 仪 
用 于 加 密 一 个 文件 服务 器 上 的 单个 预算 文件 ， 它 的 丢失 仪 意味 着 该 文件 
的 丢失 ;如果 密 钥 用 来 加 密 文件 服务 器 上 所 有 预算 信息 ， 那 么 损失 残 大 
得 多 。 





` 密 钥 使 用 越久 ， 人 们 花费 精力 破译 它 的 诱惑 力 就 越 大 一 一 甚至 采 
用 穷 举 攻 击 法 。 破 译 了 两 个 军事 单位 使 用 一 天 的 共享 密 钥 ， 会 使 菜 人 能 
阅读 当天 两 个 单位 之 间 的 通信 信息 ; 而 破译 所 有 军事 机 构 使 用 一 年 的 共 
享 密 钥 ， 会 使 同样 的 人 获取 和 伪造 通行 全 球 一 年 的 信息 。 在 我 们 的 意识 
里 ， 冷 战 后 的 世界 里 ， 哪 个 密 钥 会 受到 攻击 呢 ? 








“对 用 同一 密 钥 加 密 的 多 个 密 文 进行 密码 分 析 一 般 比 较 容易 。 








对 任何 密码 应 用 ， 必 须 有 一 个 策略 能 够 检测 密 钥 的 有 效 期 。 不 同 密 


钥 应 有 不 同 的 有 效 期 ， 基 于 连接 的 系统 (如 电话 ) ， 就 是 把 通话 时 间作 
为 密 钥 有 效 期 ， 当 再 次 通话 时 就 局 用 新 的 密 钥 。 








专用 通信 信道 就 不 这 么 明显 了 。 密 钥 应 当 有 相对 较 短 的 有 效 期 ， 这 
主要 依赖 数据 的 价值 和 给 定时 间 里 加 密 数 据 的 数量 。 每 秒 干 兆 位 的 通信 
链 路 所 用 的 密 钥 自然 应 该 比 只 有 9600 波 特 的 调制 解 调 器 所 用 的 密 钥 更 换 
得 频 索 。 假 定 存在 一 种 有 效 方法 传送 新 密 钥 ， 那 么 会 话 密 钥 人 至少 每 天 就 





密 钥 加 密 密 钥 无 需 频 蚂 更 换 ， 因 为 它们 只 是 侦 尔 地 (一 天 很 难 用 到 
一 次 ) 用 于 密 钥 交换 。 这 只 给 密 钥 破译 者 提供 很 少 的 密 文 分 析 ， 且 相应 
的 明文 也 没有 特殊 的 形式 。 然 而 ， 如 果 密 钥 加 秘密 钥 汇 露 ， 那 么 其 潜在 
损失 将 是 巨大 的 :所 有 的 通信 和 密 钥 都 经 其 加 密 。 在 茶 些 应 用 中 ， 密 钥 加 
密 密 钥 仅 一 月 或 一 年 更 换 一 次 。 你 必须 在 保存 密 钥 的 潜在 危险 和 分 发 新 
密 钥 的 潜在 危险 之 间 进 行 权衡 。 











用 来 加 密 保 存 数 据 文件 的 加 密 密 钥 不 能 经 常 地 变换 。 在 人 们 重新 使 
用 文件 前 ， 文 件 可 以 加 密 存 储 在 磁盘 上 数 月 或 数 年 ， 每 天 将 它们 解密 ， 
再 用 新 的 密 钥 进行 加 密 ， 这 无 论 如 何者 不 能 加 强 其 安全 性 ， 这 只 是 给 破 
译 者 币 来 了 更 多 的 方便 。 一 种 解决 方法 是 每 个 文件 用 唯一 的 密 钥 加 密 ， 
然后 再 用 密 钥 加 密 密 钥 把 所 有 密 钥 加 密 ， 密 钥 加 密 密 钥 要 么 被 记 住 ， 要 
么 保存 在 一 个 安全 地 点 或 菜 个 地 方 的 保险 柜 中 。 当 然 ， 丢失 该 密 钥 意味 
E ERMA KEIR EH 





公开 密 钥 应 用 中 私人 密 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 的 。 用 
于 数字 签名 和 号 份 识 别 的 私人 密 钥 必须 持续 数 年 〈 甚 至 终身 ) ， 用 于 抛 
所 硬币 协议 的 私人 密 钥 在 协议 完成 之 后 就 应 该 立即 销毁 。 即 使 期 望 密 钥 
的 安全 性 持续 终结， 两 年 更 换 一 次 密 钥 也 是 要 考虑 的 。 许 多 网 络 中 的 私 
人 和 密 钥 仅 使 用 两 年 ， 此 后 用 户 必 须 采用 新 的 私人 密 钥 。 旧 密 钥 仍 需 保 
密 ， 以 防 用 户 需 要 验证 从 前 的 签名 。 但 是 新 密 钥 将 用 于 新 文件 签名 ， 以 
减少 密码 分 析 者 所 能 攻击 的 签名 文件 数目 。 

















8.11 SZH 


如 果 密 钥 必 须 定 期 答 换 ， 旧 密 钥 就 必须 销毁 。 旧 密 钥 是 有 价值 的 ， 
即使 不 再 使 用 ， 有 了 它们 ， 攻 击 者 就 能 读 到 由 它 加 蜜 的 一 些 旧 消息 


[65] 。 


密 钥 必须 安全 地 销毁 《参见 10.9 节 ) 。 如 果 密 钥 是 写 在 纸 上 的 ， 那 
么 必须 切 雁 或 烧 掉 。 小 心地 使 用 高 质量 切 碎 机 ， 市 面 上 有 许多 劣质 的 切 
碎 机 。 本 书 中 的 算法 对 花费 上 百 万 美元 及 上 百 万 年 的 穷 举 攻击 是 安全 
的 ， 如 果 攻 击 者 在 你 的 垃圾 中 获取 到 一 包 切 碎 的 文件 碎片 ， 然 后 支付 某 
贫困 县 城 的 100 个 失业 工人 用 每 小 时 10 美 分 的 报酬 让 他 们 用 一 年 的 时 间 
将 这 些 碎片 拼凑 起 来 ， 这 样 重新 找到 密 钥 将 只 需 花 26000 美 元 。 














如 果 密 钥 在 EEPROM 硬件 中 ， 密 钥 应 进行 多 次 重 写 ;如 采 在 
EPROM 或 PROM 人 硬件 中 ， 芯 片 应 该 被 打 雁 成 小 碎片 四 散 开 来 ; 如 果 密 
钥 保 存在 计算 机 磁盘 里 ， 应 多 次 重 写 履 盖 磁 盘存 储 的 实际 位 置 〈 参 见 
10.975) 或 将 磁 熏 切 碎 。 








一 个 潜在 的 问题 是 ， 在 计算 机 中 和 密 钥 可 以 很 容易 地 进行 复制 和 存储 
在 多 个 地 方 。 对 于 自己 进行 内 存 管理 的 任何 计算 机 ， 不 断 地 接收 和 刷新 
内 存 的 程序 ， 这 个 问题 更 加 严重 ， 没 有 办 法 保证 计算 机 中 密 钥 被 安全 地 
销毁 ， 特 别 是 在 计算 机 操作 系统 控制 销毁 过 程 的 情况 下 。 谨 慎 的 做 法 








是 : 写 一 个 特殊 的 删除 程序 ， 让 它 查 看 所 有 磁盘 ， 寻 找 在 未 用 存储 区 上 
的 密 钥 副本 ， 并 将 它们 删除 。 还 要 记 住 删除 所 有 临时 文件 或 交换 文件 的 


内 容 。 





8.12 ”公开 密 钥 的 密 钥 管 理 





公开 密 钥 密码 术 使 得 密 钥 较 易 管理 ， 但 它 有 自己 的 问题 。 无 论 网 络 
上 有 多 少 人 ， 每 个 人 只 有 一 个 公开 密 钥 。 如 果 Alice 想 传送 一 条 消息 给 
Bob， 她 必须 知道 Bob 的 公开 密 铀 。 这 有 以 下 几 种 方式 : 


:她 可 以 从 Bob 处 获得 。 
她 可 以 从 中 央 数 据 库 获 得 。 
她 可 以 从 她 目 己 的 私人 数据 库 获得 。 


2.5 节 讨论 了 基于 Mallory 用 自己 的 密 钥 代替 Bob 的 密 钥 引 起 的 针对 公 
开 密 钥 密 码 术 的 多 种 可 能 的 攻击 。 该 攻击 是 Alice 想 给 Bob 发 送信 息 ， 她 
进入 公开 密 钥 数据 库 获得 Bob 的 公开 密 钥 。 但 是 Mallory 偷 偷 摸 摸 地 用 他 
自己 的 密 钥 代 蔡 了 Bob 的 密 钥 。 (如 果 Alice 直 接 向 Bob 询 问 ，Mallory 必 
须 截 取 Bob 的 通信 ， 并 用 他 的 密 钥 取代 Bob 的 密 铀 。) Alice 使 用 Mallory 
的 密 钥 加 密 她 的 消息 ， 并 传 给 Bob，Mallory 窃 听 到 消息 ， 破 译 并 阅读 该 
消息 。 他 重新 用 Bob 的 密 钥 加 密 ， 并 传 给 Bob，Alice 与 Bob 都 被 蒙 在 鼓 
H, 





8.12.1 公开 密 钥 证 书 


公开 密 钥 证 书 (public-key certificate) 是 某 人 的 公开 密 钥 ， 由 一 个 
值得 信赖 的 人 签发 。 证 书 可 用 来 防范 用 一 个 密 钥 蔡 换 另 一 个 密 钥 的 攻击 
L879」 。Bob 的 证 书 在 公开 密 钥 数据 库 中 包含 比 他 的 公开 密 钥 更 多 的 数 
据 ， 它 含有 关于 Bob 姓 名 、 地 址 等 信息 ， 并 由 Alice 相 信 的 某 个 人 签名 : 
Trent (通常 作为 证 书 机 关 (Certification Authority, CA) ) 。 通 过 对 
Bob 的 密 钥 及 其 有 关 信 息 签名 ，Trent 证 实 有 关 Bob 的 信息 是 正确 的 ， 且 
公开 密 钥 属 于 Bob 而 非 其 他 人 。 证 书 在 许多 公开 密 钥 协议 ， 如 PEM 
L825」 (参见 24.10 节 ) 和 X.509 1394! (参见 24.9 节 〉 中 扮演 了 重要 的 
角色 。 








这 类 系统 存在 一 个 复杂 的 非 密码 学 问题 : UEP BRERA ITA? 或 
者 换个 角度 ， 谁 值得 信任 ， 他 给 谁 发 证 书 ? 任何 人 都 可 以 给 其 他 人 签发 
证 书 ， 但 总 得 需要 一 些 办 法 过 滤 挥 那些 值得 怀疑 的 证 书 : 例如 ， 由 其 他 
公司 的 CA 给 公司 雇员 签发 的 证 书 。 一 般 情况 下 ， 一 个 证 书 链 是 这 样 传 
送信 任 的 : 一 个 唯一 的 可 信任 的 实体 认证 多 个 可 信任 的 代理 机 构 ， 这 些 
机 构 再 认证 一 些 公 司 CA， 最 后 这 些 公司 的 CA 再 认证 他 们 的 雇员 。 


下 面 是 一 些 值 得 思考 的 问题 : 


通过 东 人 的 证 书 能 够 对 他 的 身份 信任 到 什么 程度 ? 


: 某 人 与 给 他 公开 密 钥 证 书 的 CA 之 间 是 什么 关系 ? 怎样 从 证 书 中 断 
定 这 种 关系 ? 


' 谁 可 以 被 信任 作为 证 书 链 的 最 高 层 : 唯一 的 可 信任 实体 ? 
“证 书 链 可 以 有 多 长 ? 


理想 的 情况 是 ，Bob 在 CA 签发 证 书 之 前 遵循 某 种 鉴别 程序 。 男 外 ， 
各 种 时 间 标 记 或 证 书 有 效 期 对 防止 密 钥 泄露 都 是 很 重要 的 “461] 。 








使 用 时 间 标 记 远 远 不 够 。 密 钥 或 者 因为 泄露 或 者 因为 管理 的 原因 在 
没有 到 期 之 前 就 已 经 无 效 。 所 以 ，CA 保 存 一 个 合法 的 证 书 清单 很 重 
要 ， 这 样 用 户 就 可 以 定期 查看 它 。 密 钥 撤 销 仍然 是 很 难 解决 的 问题 。 





使 用 一 个 公开 密 钥 /私人 密 钥 对 仍然 不 够 。 当 然 ， 任 何 好 的 公开 密 
钥 密 码 的 实现 需要 把 加 密 密 钥 和 数字 签名 密 钥 分 开 。 分 离 密 钥 要 考 碟 到 
不 同 的 安全 级 别 、 有 效 期 、 备 份 过 程 等 。 有 人 或 许 用 存储 在 智能 卡 中 的 
2048 位 的 密 钥 给 消息 人 签名， 并 能 保密 20 年 ， 然 而 他 或 许 用 存储 在 计算 机 
中 的 只 能 保密 6 个 月 的 768 位 的 密 钥 给 它 加 密 。 





同样 ， 单 独 一 对 加 密 和 签名 密 钥 还 是 不 够 的 。 与 身份 证 一 样 ， 私 人 
密 钥 证 明了 一 种 关系 ， 而 人 不 止 有 一 种 关系 : Alice 分 别 可 以 以 私人 名 
义 、Monolith 公 司 的 副 总 裁 以 及 组 织 的 主席 名 义 给 茶 个 文件 签名 。 其 中 
有 些 密 钥 比 其 他 的 密 钥 更 有 价值 ， 所 以 它们 应 该 更 好 地 保护 。Alice 必 须 
将 工作 密 钥 的 备份 存储 在 公司 的 安全 官 那 里 ， 但 她 并 不 想 公 司 拥有 她 用 
来 对 抵押 契 据 签名 的 密 钥 。 就 像 她 口袋 里 有 多 把 钥匙 一 样 ，Alice 也 将 拥 
有 多 个 密码 密 铀 。 











8.12.2 分布 式 密 钥 管 理 


在 有 些 情况 下 ， 进 行 集中 密 钥 管 理 是 不 可 能 的 ， 或 许 没有 Alice 和 
Bob 都 相信 的 CA， 或 许 他 们 只 相信 他们 的 朋友 ， 或 许 他 们 谁 都 不 相信 。 


用 于 PGP (024.1273) 的 分 布 式 密 钥 管理 ， 通 过 介绍 人 

(introducer) 解决 了 此 问题 。 介 绍 人 是 系统 中 对 他 们 朋友 的 公开 密 钥 签 
名 的 其 他 用 户 。 例 如 ， 当 Bob 产 生 他 的 公开 密 钥 时 ， 把 副本 给 他 的 朋友 
Carol 和 Dave， 他 们 认识 Bob， 两 人 分 别 在 Bob 的 密 钥 上 签名 并 给 Bob 一 
个 签名 副本 。 现 在 ， 当 Bob 把 他 的 密 钥 送 给 Alice 这 个 新 来 者 时 ， 他 就 将 
两 个 介绍 人 的 签名 一 起 给 Alice。 如 果 Alice 也 认识 并 相信 Carol， 她 有 理 
由 相信 Bob 的 密 钥 是 合法 的 ， 如 果 Alice 不 认识 和 信任 Carol 和 Dave， 她 也 
有 理由 认为 Bob 的 密 钥 有 效 ; 如 果 她 既 不 认识 Carol 也 不 认识 Dave， 便 没 
有 理由 相信 Bob 的 密 钥 。 


随 着 时 间 的 推移 ，Bob 将 收集 更 多 的 介绍 人 。 如 果 Alice 和 Bob 在 同 
一 个 社交 圈子 里 ，Alice 很 可 能 会 认识 Bob 的 介绍 人 。 为 了 防止 Mallory 蔡 
换 Bob 的 密 钥 ， 介 绍 人 必须 在 签名 前 确信 和 密 钥 是 属于 Bob 的 。 也 许 介绍 
人 需要 面对面 地 收 到 密 钥 或 者 通过 电话 证 实 它 。 





此 机 制 的 好 处 是 不 需要 人 人 都 得 相信 的 CA。 缺 点 就 是 当 Alice 接 收 
到 Bob 的 密 钥 时 ， 并 不 能 保证 她 认识 介绍 人 中 的 哪 一 个 ， 因 此 就 不 能 保 
证 她 相信 密 钥 的 合法 性 。 


PIR ”算法 类 型 和 模式 


对 称 密码 算法 有 两 种 基本 类 型 : 分 组 密码 和 序列 密码 。 分 组 密码 
(block cipher) 是 在 明文 分 组 和 密 文 分 组 上 进行 运算 一 一 通常 分 组 长 为 
64 位 ， 但 有 时 更 长 ， 序列 密码 (stream cipher) 是 在 明文 和 密 文 数据 序 
列 的 1 位 或 1 字 节 〈 有 时 甚至 是 一 个 32 位 的 字 ) 上 进行 运算 。 利 用 分 组 密 
码 ， 相 同 的 明文 用 相同 的 密 钥 加 密 永 远 得 到 相同 的 密 文 ， 利 用 序列 密 
码 ， 每 次 对 相同 的 明文 位 或 字 节 加 密 都 会 得 到 不 同 的 密 文 位 或 字 节 。 








-> 


密码 模式 (mode) 通常 由 基本 和 密码、 一 些 反 馈 和 一 些 人 简单 运算 组 
合 而 成 。 运 算 很 简单 ， 因 为 安全 性 依赖 于 基础 的 密码 ， 而 不 依赖 模式 。 
强调 一 点 ， 蜜 码 模式 不 会 损害 算法 的 安全 性 。 


还 有 其 他 的 安全 考虑 事项 : 明文 的 模式 应 当 隐 藏 ， 输入 的 密 文 应 当 
古 随机 的 ;通过 向 密 文 中 引入 错误 来 对 明文 进行 控制 很 困难 ; 以 及 可 以 


用 同一 个 密 钥 加 密 多 个 信息 。 这 些 问题 将 在 以 后 章节 里 详细 讨论 。 








效率 是 男 一 个 值得 考虑 的 事情 。 模 式 的 效率 不 应 该 明显 地 低 于 基础 
的 密码 。 在 茶 些 情况 下 ， 密 文 和 明文 的 大 小 相同 非常 重要 。 





第 三 个 要 考虑 的 事情 是 容错 。 一 些 应 用 需要 并 行 加 密 或 解密 ， 而 其 
他 一 些 则 需要 能 够 尽 可 能 多 地 进行 预 处 理 。 无 论 怎 样 ， 在 丢失 或 增加 位 
的 密 文 序列 中 ， 解 密 过 程 能 够 从 位 错误 中 恢复 很 重要 。 正 如 我 们 将 看 到 








的 ， 不 同 的 模式 将 有 不 同 的 特征 子 集 。 


9.1 电子 密码 本 模式 


电子 密码 本 (Electronic Code Book，ECB) 模式 是 使 用 分 组 密码 最 
明显 的 方式 : 一 个 明文 分 组 加 密 成 一 个 密 文 分 组 。 因 为 相同 的 明文 分 组 
永远 被 加 密 成 相同 的 密 文 分 组 ， 所 以 在 理论 上 制作 一 个 包含 明文 和 相应 
密 文 的 密码 本 是 可 能 的 。 然 而 ， 如 果 分 组 的 大 小 是 64 位 ， 那 么 密码 本 就 
A25 项 一 一 对 预计 算 和 存储 来 说 太 大 了 。 记 住 ， 每 一 个 密 钥 有 一 个 不 
同 的 密码 本 。 





这 是 最 容易 的 运行 模式 。 每 个 明文 分 组 可 被 独立 地 进行 加 密 。 不 必 
按 次 序 进行 ， 可 以 先 加 密 中 间 10 个 分 组 ， 然 后 是 尾部 分 组 ， 最 后 加 密 最 
开始 的 分 组 。 这 对 加 密 随 机 存 取 的 文件 ， 如 数据 库 ， 是 非常 重要 的 。 如 
果 一 个 数据 库 用 ECB 模 式 进行 加 密 ， 那 么 任意 一 个 记录 都 可 以 独立 于 其 
他 记录 被 添加 、 删 除 或 者 解密 一 一 假定 记录 是 由 离散 数量 的 加 密 分 组 组 
成 。 如 果 你 有 多 个 加 密 处 理 器 ， 当 然 处 理 是 并 行 的 ， 那 么 它们 就 可 以 独 
立地 对 不 同 的 分 组 进行 加 密 或 解密 而 不 会 相互 干涉 。 











ECB 模 式 所 带 来 的 问题 是 : 如 果 密 码 分 析 者 有 很 多 消息 的 明文 和 密 
文 ， 那 他 就 可 在 不 知道 密 钥 的 情况 下 编辑 密码 本 。 在 许多 实际 情况 中 ， 
消息 格式 趋 于 重复 ， 不 同 的 消息 可 能 会 有 一 些 位 序列 是 相同 的 。 计 算 机 
产生 的 消 妃 ， 如 电子 邮件 ， 可 能 有 固定 的 结构 。 这 些 消 轧 在 很 大 程度 上 








是 风 余 的 或 者 有 一 个 很 长 的 0 和 空格 组 成 的 字符 串 。 


如 果 密 码 分 析 者 知道 了 明文 5e081bc5 被 加 密 成 密 文 7ea593a4， 那 么 
无 论 它 什 么 时 候 出 现在 另 一 段 消 息 中 ， 他 都 能 立即 将 其 解密 。 如 果 加 密 
的 消息 具有 一 些 元 余 信 息 ， 那 么 这 些 信息 趋向 于 在 不 同 消息 的 同一 位 置 
出 现 ， 密 码 分 析 者 可 获得 很 多 信息 。 然 后 他 就 可 以 对 明文 发 动 统计 学 攻 
击 ， 而 不 必 考 虑 密 文 分 组 的 长 度 。 








消息 的 开头 和 结尾 是 致命 之 处 ， 因 为 那里 规定 了 消息 头 和 消息 尾 ， 
其 中 包含 了 关于 发 送 者 、 接 收 者 、 日 期 等 信息 。 这 个 问题 有 时 叫做 格式 
化 开头 (stereotyped beginning) 和 格式 化 结尾 (stereotyped ending) 。 


该 模式 好 的 一 面 就 是 用 同一 个 密 钥 加 密 多 个 消息 时 不 会 有 和 危险。 实 
际 上 ， 每 一 个 分 组 可 被 看 做 是 用 同一 个 密 钥 加 密 的 单独 消 忠 。 如 末 密 文 
中 数据 位 出 错 ， 解 密 时 ， 就 会 使 得 相对 应 的 整个 明文 分 组 解密 错误 ， 但 
它 不 会 影响 其 他 明文 。 然 而 ， 如 果 密 文中 侦 尔 丢失 或 添加 一 些 数据 位 ， 
那么 整个 密 文 序列 将 不 能 正确 地 解密 ， 除 非 有 茶 种 帧 结构 能 够 重新 排列 
分 组 的 边界 。 


填充 


大 多 数 消息 并 不 是 刚好 分 成 64 位 (或 者 任意 长 度 ) 的 加 密 分 组 ， 它 


们 通常 在 尾部 有 一 个 短 分 组 。ECB 要 求 是 64 位 分 组 。 处 理 该 问题 的 一 个 


方法 是 填充 (padding) 。 


用 一 些 有 规律 的 模式 〈0、1 或 者 0 和 1 交替 ) 把 最 后 的 分 组 填充 成 一 
个 完整 的 分 组 。 如 果 你 想 在 解密 后 将 填充 位 去 掉 ， 就 在 最 后 一 个 分 组 的 
最 后 一 字 节 中 加 上 填充 字 节 的 数目 。 例 如 ， 假 定 分 组 的 大 小 是 64 位 ， 且 
最 后 一 个 分 组 含有 3 字 节 (24 位) 。 也 就 是 说 ， 需 要 填充 5 字 节 以 使 最 后 
一 个 分 组 达到 64 位 ， 这 时 就 要 添加 4 个 字 节 的 0 然后 再 用 5 填充 最 后 一 个 
字 节 。 解 密 后 删除 最 后 分 组 的 后 面 5 个 字 节 。 因 为 该 方法 能 正确 工作 ， 
所 以 每 一 个 消息 都 必须 填充 。 即 使 明文 以 分 组 的 边界 结束 ， 也 必须 添加 
一 个 整 分 组 。 可 以 用 一 个 文件 结束 字符 表示 明文 的 最 后 一 个 字 节 ， 然 后 
在 该 字符 后 面 进行 填充 。 











图 9-1 是 一 个 可 供 选 择 的 方案 ， 称 为 窗 文 挪用 《ciphertext stealing) 
[402] 。P, ;1 是 最 后 一 个 完整 的 明文 分 组 ，P, 是 最 后 一 个 短 的 明文 分 
组 。C, 1 是 最 后 一 个 完整 的 密 文 分 组 ，C, 是 最 后 一 个 短 的 密 文 分 组 。C' 


仅 作为 一 个 中 间 结 果 ， 并 不 是 传输 密 文 的 一 部 分 。 





加 密 
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图 9-1 ECB 模 式 中 的 


9.2 分 组 重 放 


ECB 模 式 最 严重 的 问题 是 敌人 可 以 在 不 知道 密 钥 的 情况 下 修改 被 加 
密 过 的 消 轧 ， 用 这 种 办 法 可 以 欺骗 指定 的 接收 者 。 最 早 在 文献 [291 | 


中 讨论 过 这 个 问题 。 





为 了 说 明 这 个 问题 ， 考 察 在 不 同 银行 的 账号 之 间 进 行 资金 往来 的 资 
金 转账 系统 。 为 使 计算 机 系统 方便 有 效 ， 银 行 制定 了 一 个 标准 的 消 妃 格 
式 用 来 转账 ， 格 式 如 下 : 


银行 1: 发 送 者 ”1.5 个 分 组 


银行 2: 接收 者 ”1.5 个 分 组 


储户 姓名 ”6 个 分 组 


储户 账号 ”2 个 分 组 


存款 金额 1 个 分 组 


上 述 的 一 个 “分 组 ?对 应 一 个 8 字 节 的 加 密 分 组 。 这 些 消息 用 ECB 模 
式 下 的 某 个 分 组 算法 进行 加 密 





Mallory E Æ UTERT] (如 Alice 所 在 的 银行 与 Bob 所 在 的 银行 ) 的 








通信 线路 ， 他 可 以 利用 这 些 信 息 致 富 。 首 先 ， 他 用 上 自己 的 计算 机 记录 下 
所 有 从 Alice 的 银行 到 Bob 的 银行 的 加 密 消 恩 ， 接 着 他 从 Alice 的 银行 传送 
100 美 元 到 他 在 Bob 的 银行 的 账户 上 。 然 后 ， 他 又 重复 该 过 程 。 利 用 计算 
机 记录 的 信息 ， 他 可 以 找到 一 对 完全 相同 的 消 妃 ， 这 些 消息 束 是 授权 将 
100 美 元 转 到 他 的 账户 上 。 如 果 发 现 有 多 于 一 对 的 消 妃 相 同 〈 实 际 生活 
中 更 有 可 能 ) ， 他 束 进 行为 一 个 球 项 转移 ， 并 将 结果 记录 下 来 ， 最 终 他 
能 分 离 出 授权 他 的 球 项 转移 的 消 居 。 





现在 他 可 以 按照 他 的 意愿 在 通信 和 链 路 中 插入 消息 ， 每 次 他 给 Bob 银 
行 发 送 一 则 消息 ， 就 有 100 美 元 进入 他 的 账户 ， 当 两 个 银行 核对 他 们 的 
往来 账目 〈 总 有 那么 一 天 ) ， 他 们 将 注意 到 幽灵 般 的 转 款 授权 现象 。 但 
如 果 Mallory 聪 明 的 话 ， 他 早 就 将 钱 款 取出 ， 并 逃 到 没有 引渡 法 律 的 中 
南美 洲 国家 去 了 ， 并 且 他 可 在 许多 不 同 的 银行 用 同样 的 手法 每 次 搞 到 远 
多 于 100 美 元 的 球 项 。 














乍 看 起 来 ， 银 行 可 以 通过 在 消 奶 中 附加 时 间 标 记 来 防止 这 种 情况 的 
RE: 


日 期 /时 间 标 记 1 分 组 


银行 1: 发 送 者 ”1.5 分 组 


银行 2: 接收 者 “1.5 分 组 


储户 姓名 ”6 分 组 


储户 账号 2 分 组 


存 球 金额 1 分 组 





用 这 种 系统 可 以 很 容易 识别 两 条 完全 相同 的 消息 。 尽 管 如 此 ， 使 用 
一 种 叫做 分 组 重 放 (block replay〉 的 技术 ，Mallory 仍 然 可 以 发 财 。 见 
图 9-2，Mallory 可 以 挑选 8 个 与 他 的 名 字 和 账号 相对 应 的 密 文 分 组 : 分 组 
5 到 分 组 12。 这 时 一 阵 恶 魔 般 的 笑 声 传 来 ，Mallory 已 做 好 了 准备 。 


分 组 号 











图 9-2 一 个 记录 实例 的 加 密 分 组 


他 截取 从 银行 1 到 银行 2 的 随机 消 轧 ， 并 用 他 的 名 字 和 账 吕 人 符 代 分 组 
5 和 分 组 12 之 间 相 应 的 位 消 轧 ， 然 后 将 其 发 往 银行 2。 他 不 必 知 道 原 先 的 
储户 ， 甚 至 不 必 知 道 那 个 账号 (虽然 他 可 以 通过 比较 他 窜改 后 存 入 他 账 
户 金 额 的 消 恩 来 确定 对 应 于 同样 金额 的 加 密 分 组 )， 他 只 需 简 蛙 地 将 姓 
名 和 账号 换 上 他 目 己 的 ， 然 后 查看 他 的 进账 就 行 了 。 





银行 将 花费 一 天 以 上 的 时 间 才 能 发 现 。 当 他 们 每 天 核对 账目 时 ， 一 
切 都 正常 ， 直 到 茶 一 天 合法 客户 注意 到 钱 最 终 没 存 进 他 的 账户 ， 或 什么 


时 候 茶 人 意外 地 发 现 Mallory 的 账 尸 出 奇 地 活跃 ， 银 行 才 会 发 现 问题 。 
Mallory 并 不 基 ， 到 那 时 他 将 取消 他 的 账户 ， 改 名 换 姓 在 阿根廷 买 了 一 


es 751] BE 











银行 可 通过 频繁 地 改变 密 钥 来 尽 可 能 地 降低 风险 。 但 这 只 是 意味 着 
Mallory 的 行动 要 更 加 迅速 。 然 而 ， 增 加 一 个 MAC 字 段 可 解决 此 问题 。 
即使 这 样 ， 这 仍然 是 ECB 模 式 的 根本 性 问题 。Mallory 仍 可 以 按 自 己 的 意 
愿 或 删除 或 重复 或 改换 密 文 分 组 。 该 问题 的 解决 方法 是 采用 称 为 分 组 链 
接 (chaining) 的 技术 。 





9.3 ”密码 分 组 链接 模式 


链接 将 一 种 反馈 (feedback) 机 制 加 入 分 组 密码 中 : 将 前 一 个 分 组 
的 加 密 结果 反馈 到 当前 分 组 的 加 密 中 。 换 句 话说 ， 每 个 分 组 用 来 修改 下 
一 个 分 组 的 加 密 。 每 个 密 文 分 组 不 仅 依 赖 于 产生 它 的 明文 分 组 ， 而 且 还 
依赖 于 所 有 前 面 的 明文 分 组 。 





在 密码 分 组 链接 (Cipher Block Chaining, CBC) 模式 中 ， 明 文 被 
加 密 之 前 要 与 前 面 的 密 文 进行 异 或 运算 。 图 9-3a 展 示 了 CBC 是 如 何 工 作 
的 。 第 一 个 分 组 明文 被 加 密 后 ， 其 结果 存储 在 反馈 寄存 器 中 。 在 下 一 个 
明文 分 组 加 密 之 前 ， 它 将 与 反馈 寄存 器 进行 弄 或 作为 下 一 次 加 密 的 输 
入 ， 其 结果 又 被 存储 在 反馈 寄存 器 中 ， 再 与 下 一 个 明文 分 组 进行 异 或 ， 
如 此 这 般 直 到 消息 结束 。 每 个 分 组 的 加 密 都 依赖 于 所 有 前 面 的 分 组 。 











解密 一 样 简单 易 行 〈 见 图 9-3b) 。 第 一 个 分 组 密 文 被 正常 地 解密 ， 
并 将 该 密 文 存 入 反馈 寄存 器 。 在 下 一 个 分 组 被 解密 后 ， 将 它 与 反馈 寄存 





器 中 的 结果 进行 异 或 。 接 着 ， 下 一 个 密 文 分 组 被 存 入 反 饿 寄存器， 如 此 
下 去 直到 整个 消息 结束 。 

















a) CBC 加 密 b) CBC 解 密 


图 9-3 ”密码 分 组 链接 模式 





用 数学 语言 表示 为 : 


C; — Ex CP; C) 
P; = Ca 中 Dx (C;) 


9.3.1 Meath ies 


CBC 模 式 仅 在 前 面 的 明文 分 组 不 同时 ， 才 能 将 完全 相同 的 明文 分 组 
加 密 成 不 同 的 密 文 分 组 ， 因 此 两 个 相同 的 消息 仍 将 加 密 成 相同 的 密 文 。 
更 糟 糙 的 是 ， 任 意 两 则 消息 在 它们 的 第 一 个 不 同 之 处 出 现 前 ， 将 被 加 密 
成 相同 的 结果 。 


有 些 消 妃 有 相同 的 开头 : 如 一 封 信 的 信 头 、“ 发 件 人 ” 行 或 其 他 东 
西 。 虽 然 使 用 分 组 重 放 是 不 可 能 的 ， 但 这 些 相 同 的 开头 的 确 给 密码 分 析 
者 提供 了 一 些 有 用 的 线索 。 


防止 这 种 情况 发 生 的 办 法 是 用 加 密 随 机 数据 作为 第 一 个 分 组 ， 这 个 
随机 数据 分 组 称 为 初始 化 向 量 (Initialization Vector, IV) ， 也 称 为 初 
始 化 变量 或 初始 链接 值 。IV 没 有 任何 意义 ， 它 只 是 使 每 个 消息 唯一 化 。 
当 接 收 者 进行 解密 时 ， 只 是 用 它 来 填充 反馈 寄存 器 ， 然 后 将 忽略 它 。 时 
间 标 记 是 一 个 好 的 IV， 当 然 也 可 以 用 一 些 随机 位 串 作为 ITV。 





使 用 IV 后 ， 完 全 相同 的 消息 可 以 被 加 密 成 不 同 的 黎 文 消 轧 。 这 样 ， 
贸 听 者 企图 再 用 分 组 重 放 进 行 攻击 是 完全 不 可 能 的 ， 并 且 制 造 密码 本 将 
更 加 困难 。 尽 管 要 求 用 同一 个 密 钥 加 蜜 的 消息 所 使 用 的 IV 是 唯一 的 ， 但 
这 也 不 是 绝对 的 。 





IV 不 需要 保密 ， 它 可 以 明文 形式 与 密 文 一 起 传送 。 如 果 觉 得 这 样 错 
了 ， 那 就 看 看 如 下 的 讨论 : 假设 有 一 个 消息 的 各 个 分 组 为 Bl By» 
o Bio B, 用 IV 加 密 ，B, 使 用 Bj 的 密 文 作为 TV 进行 加 密 ，B: AB, 的 
密 文 作为 IV 进 行 加 密 ， 以 此 类 推 。 所 以 ， 如 果 有 n 个 分 组 ， 即 使 第 一 个 
IV 是 保密 的 ， 仍 然 有 n-1 个 IV 暴 露 在 外 。 因 此 没有 理由 对 IV 进 行 保密 ， 
它 只 是 一 个 虚拟 密 文 分 组 一 一 你 可 以 将 它 看 做 链接 开始 的 Bo 分 组 。 





9.3.2 ”填充 





就 像 ECB 模 式 一 样 进行 填充 ， 但 在 许多 应 用 中 需要 使 密 文 与 明文 有 
同样 的 长 度 。 或 许 明文 加 密 后 就 放 在 内 存 原来 的 位 置 ， 这 样 你 必须 对 最 
后 那 一 个 短 分 组 进行 不 同 的 加 密 处 理 。 假 定 最 后 一 个 分 组 有 j 位 ， 在 对 
最 后 一 个 完整 分 组 加 密 之 后 ， 再 对 密 文 进 行 加 密 ， 然 后 选择 加 密 密 文 最 
左边 的 ;位 ， 让 其 与 不 完整 分 组 〈 短 分 组 ) 进行 异 或 运算 ， 见 图 9-4。 
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图 9-4 CBC 模式 最 后 短 分 组 的 加 密 方法 


这 种 方法 的 不 足 之 处 是 ， 当 Mallory 不 能 恢复 最 后 的 明文 分 组 时 ， 
他 可 以 通过 修改 密 文 的 个 别 位 系统 地 改变 它们 。 如 果 最 后 几 位 密 文 含 有 
重要 信息 ， 这 将 是 一 个 弱点 ; 如 果 最 后 几 位 只 含有 一 些 简单 的 不 重要 的 
AVY, MIKA 





密 文 挪用 是 一 个 很 好 的 方法 〈 见 图 9-5) .402] 。P, i 是 最 后 一 个 


完整 的 明文 分 组 ，P, 是 最 后 短 的 明文 分 组 ，Cn-i 是 最 后 一 个 完整 的 密 文 
分 组 ，G 是 最 后 的 短 密 文 分 组 ，C' 是 一 个 中 间 结 果 并 非 传 送 密 文 的 一 部 
分 。 该 方法 的 好 处 是 明文 消 恩 的 所 有 位 都 通过 了 加 密 算 法 。 





图 9-5 ” CBC 模式 下 的 密 文 挪用 


9.3.3 ”错误 扩散 














CBC 模 式 具 有 在 加 密 端 是 密 文 反馈 (feedback) 和 人 解密 端 是 密 文 前 
(it (feedforward) 的 性 质 ， 这 意味 着 要 对 错误 进行 处 理 。 明 文 分 组 中 单 
独 一 位 发 生 错误 将 影响 密 文 分 组 以 及 其 后 的 所 有 密 文 分 组 。 这 没什么 大 
不 了 ， 因 为 解密 将 反 转 这 种 影响 ， 恢 复 的 明文 也 还 是 那个 错误 。 








密 文 错误 更 加 第 见 。 信 道 噪声 或 存储 介质 损坏 很 容易 引起 这 些 错 


误 。 在 CBC 模 式 中 ， 密 文中 一 个 单独 位 的 错误 将 影响 一 个 分 组 以 及 恢复 


明文 的 1 位 错误 。 含 有 1 位 错误 的 分 组 完全 不 能 恢复 ， 随 后 的 分 组 在 同样 
的 位 置 有 1 位 错误 。 


密 文 的 小 错误 能 够 转变 成 明文 很 大 的 错误 ， 这 种 现象 叫做 错误 扩散 
Cerror extension) 。 它 是 最 烦人 的 事 。 错 误 分 组 的 第 二 分 组 之 后 的 分 组 
不 受 错误 影响 ， 所 以 CBC 模 式 是 日 恢复 的 Cself-recovering) 。 虽 然 两 
个 分 组 受到 一 个 错误 的 影响 ,但 系统 可 以 恢复 并 且 所 有 后 面 的 分 组 都 不 
受 影响 。CBC 和 是 用 于 目 同 步 方式 的 分 组 密码 的 一 个 实例 ， 但 仅 在 分 组 
级 。 

















尽管 CBC 能 很 快 将 位 错误 恢复 ， 但 它 却 不 能 恢复 同步 错误 。 如 果 从 
密 文 序列 中 增加 或 丢失 1 位 ， 那 么 所 有 后 续 分 组 要 移动 1 位 ， 并 且 解 密 将 
全 部 错误 。 任 何 使 用 CBC 的 加 密 系 统 都 必须 确保 分 组 结构 的 完整 ， 要 么 
用 帧 ， 要 么 在 有 多 个 分 组 大 小 的 组 块 中 存储 数据 。 


9.3.4 安全 问题 


一 些 潜在 的 安全 问题 是 由 CBC 的 结构 引起 的 。 首 先 ， 因 为 密码 分 组 
都 用 同样 的 方式 影响 后 面 的 分 组 ， 所 以 Mallory 可 以 在 加 密 消息 的 后 面 
加 上 一 些 分 组 而 不 被 发 觉 。 当 然 ， 它 或 许 被 解密 成 一 堆 杂 乱 无 用 的 数 
据 ， 但 在 很 多 情况 下 这 是 不 需要 的 。 








如 果 你 正在 使 用 CBC， 你 应 当 组 织 好 明文 以 便 弄 清楚 消息 在 何 处 结 


束 ， 并 且 能 检测 出 额外 附加 的 分 组 。 


其 次 ，Mallory 可 以 通过 改变 一 个 密 文 分 组 ， 控 制 其 余 解 密 的 明文 
分 组 。 例 如 ， 如 果 Mallory 切 换 一 个 密 文 位 ， 那 么 就 使 得 整个 密 文 分 组 
将 不 能 被 正确 解密 ， 其 后 的 分 组 在 相应 的 同一 位 置 出 现 1 位 错误 。 在 很 
多 情况 下 这 是 所 需要 的 。 整 个 明文 消息 应 当 包括 茶 些 控制 元 余 或 鉴别 。 




















最 后 ， 尽 管 通过 链接 可 将 明文 的 模式 隐藏 起 来 ， 但 奉 消 息 很 长 则 仍 
然 有 一 定 的 模式 。 由 生日 悖 论 可 以 预知 2™ 个 分 组 后 就 有 完全 相同 的 分 
组 ， 其 中 耳 为 分 组 的 大 小 。 对 一 个 64 位 的 分 组 ， 约 为 34GB。 当 消息 必须 
足够 长 时 ， 才 有 这 样 的 问题 。 


9.4 ” 厅 列 密码 算法 


序列 密码 算法 将 明文 逐 位 转换 成 密 文 。 该 算法 最 简单 的 应 用 见 图 9- 
6。 密 钥 序 列 发 生 器 (keystream generator， 也 称 为 滚动 密 钥 发 生 器 ) 输 
出 一 系列 位 序列 : Ki Ky» Kg» ，...，K; 。 密 钥 序 列 〈 也 称 为 滚动 密 
钥 ) 与 明文 位 序列 P| Py, Pg, ..., Pi 进行 异 或 运算 产生 密 文 位 序 
列 。 


G= P: OK; 








在 解密 端 ， 密 文 位 序列 与 完全 相同 的 密 钥 序列 异 或 恢复 明文 序列 。 
P, =G GK, 
由 于 
P, 由) K; CD K; = F, 


所 以 该 方式 是 正确 的 。 










密 钥 序列 


密 钥 序列 
发 生 需 tHE ait 





密 钥 序列 | 大 密 钥 序列 | 大 


图 9-6 序列 密码 


系统 的 安全 性 完全 依靠 密 钥 序列 发 生 器 的 内 部 机 制 。 如 果 筷 的 输出 
是 无 穷 的 0 序列 ， 那 么 密 文 就 是 明文 ， 这 样 整个 系统 一 文 不 值 ， 如 果 它 
输出 的 是 一 个 周期 性 的 16 位 模式 ， 那 么 该 算法 仅 是 一 个 可 忽略 安全 性 的 
异 或 运算 (参见 1.4 市 ); 如 果 它 的 输出 是 一 系列 无 穷 的 随机 位 友 列 
» MARA KB aL 

















码 本 和 非常 完美 的 安全 。 


实际 的 序列 密码 算法 的 安全 性 依赖 于 简单 的 异 或 运算 和 一 次 一 密 乱 
码 本 。 密 钥 序 列 发 生 器 产生 的 看 似 随 机 的 密 钥 序列 实际 上 是 确定 的 ， 在 
解密 的 时 候 能 很 好 地 将 其 再 现 。 密 钥 序 列 发 生 器 输出 的 密 钥 越 接近 随 
机 ， 对 密码 分 析 者 来 说 就 越 困 难 。 








然而 ， 如 果 密 钥 序 列 发 生 嚣 每 次 都 产生 同样 的 密 钥 序 列 ， 对 攻击 来 
说 ， 破 译 该 算法 就 容易 了。 举例 说 明 为 什么 。 


如 打 Eve 得 到 一 份 密 文 和 相应 的 明文 ， 她 就 可 以 将 两 者 寞 或 恢复 出 
密 钥 序列 。 或 者 ， 如 果 她 有 两 个 用 同一 个 密 钥 序列 加 密 的 密 文 ， 她 就 可 
以 让 两 者 寞 或 得 到 两 个 明文 相互 异 或 产生 的 消息 。 这 是 很 容易 破译 的 ， 
接着 她 束 可 以 用 明文 与 密 文 异 或 得 出 密 钥 序列 。 














现在 ， 无 论 她 拦截 到 什么 密 文 消息 ， 她 都 可 以 用 她 所 拥有 的 密 钥 序 
列 进行 解密 。 力 外 ， 她 还 可 以 解密 并 阅读 以 前 截获 的 消 轧 。 一 旦 Eve 得 
到 一 个 明文 / 密 文 对 ， 她 就 可 以 读 异 任何 东西 了 。 





这 就 是 为 什么 所 有 序列 密码 也 有 密 钥 的 原因 。 密 钥 序 列 发 生 器 的 输 
出 是 密 钥 的 函数 。 这 样 ， 即 使 Eve 有 一 个 明文 / 密 文 对 ， 但 她 只 能 读 到 用 
特定 密 钥 加 密 的 消息 。 更 换 密 铀 ， 攻 击 者 就 不 得 不 重新 分 析 。 序 列 密码 
算法 对 加 密 那 些 永 不 结束 的 通信 数据 








一 状态 
"ah 


输出 函数 






密 钥 K 





图 9-7 密 钥 序列 发 生 器 内 部 机 理 


序列 特别 有 用 ， 如 两 台 计 算 机 之 间 的 T-1 连 接 。 





密 钥 序列 发 生 器 有 三 个 基本 组 成 部 分 〈 见 图 9-7) 。 内 部 状态 描述 
了 密 钥 序列 发 生 器 的 当前 状态 。 两 合 密 钥 序列 发 生 需 如 果 有 相同 的 密 铀 
和 内 部 状态 ， 那 么 就 会 产生 相同 的 密 钥 序列 。 输 出 函数 处 理 内 部 状态 ， 
并 产生 和 密 钥 序列 ; 下 一 状态 函数 处 理 内 部 状态 ， 并 产生 新 的 内 部 状态 。 





9.5 目 同 步 序 列 密码 





对 于 自 同 步 序列 密码 (self-synchronizing stream cipher) , 344% 
列 的 每 一 位 都 是 前 面 固定 数量 密 文 位 的 函数 [1378」 。 军 方 称 之 为 密 文 
自动 密 钥 (Cipher Text Auto Key, CTAK) 。 其 基本 思想 是 在 1946 年 成 
形 的 [667] 。 











图 9-8 描 述 了 其 工作 原理 。 其 中 ， 内 部 状态 是 前 面 n 位 密 文 的 函数 。 
该 算法 的 密码 复杂 性 在 于 输出 函数 ， 它 收 到 内 部 状态 后 产生 宅 钥 序列 


EN 


位 。 





图 9-8 目 同 步 密 钥 序列 发 生 需 


因为 内 部 状态 完全 依赖 前 面 n 个 密 文 位 ， 所 以 解密 密 钥 序 列 发 生 右 
在 收 到 n 个 密 文 位 后 目 动 与 加 密 密 钥 序列 发 生 需 同步 。 








在 该 模式 的 智能 化 应 用 中 ， 每 个 消息 都 以 随机 的 n 位 标题 开始 。 这 
个 标题 被 加 密 、 传 输 、 解 密 ， 在 n 位 密 文 之 前 整个 解密 是 不 正确 的 ， 直 


到 两 个 密 钥 序列 发 生 需 同步 。 











自 同 步 密 码 的 缺点 是 错误 扩散 。 如 果 传 输 中 一 个 密 文 位 被 窜改 ， 解 
密 密 钥 序列 发 生 器 就 有 n 个 密 钥 序列 位 不 能 正确 产生 。 因 此 ，1 位 密 文 错 
误 就 会 导致 n 位 相应 的 明文 错误 ， 直 到 内 部 状态 中 不 再 有 该 错误 位 。 








安全 问题 


目 同 步 序列 密码 算法 同样 对 回放 攻击 很 敏感 。Mallory 先 记录 一 些 
密 文 位 ， 一 段 时 间 后 他 就 用 这 些 记录 代 蔡 当前 数据 序列 。 在 一 些 无 用 的 
言 轧 过 后 ， 当 接收 端 再 同步 时 ， 一 些 旧 的 密 文 仍 正 党 地 解密 。 接 收 端 没 
有 办 法 知道 它 是 不 是 当前 数据 ， 但 旧 的 数据 则 可 以 被 回放 。 如 果 不 用 时 
间 标 记 ，Mallory 就 可 以 回放 相同 的 信息 《当然 假定 密 钥 还 没 更 换 ) 使 
银行 相信 并 将 大 笔 的 钱 一 裔 又 一 避 地 存 入 他 的 账户 。 在 频繁 再 同步 的 情 
况 下 ， 该 方案 还 有 其 他 可 利用 的 漏洞 “408] 。 

















9.6 ”密码 反馈 模式 


分 组 密码 算法 也 可 以 用 于 自 同步 序列 密码 ， 就 是 所 谓 的 密码 反馈 
(Cipher-FeedBack, CFB) 模式 。 在 CBC 模 式 下 ， 整 个 数据 分 组 在 接收 
完 之 后 才能 进行 加 密 。 对 许多 网 络 应 用 来 说 ， 这 是 一 个 问题 。 例 如 ， 在 
一 个 安全 的 网 络 环境 中 ， 当 从 某 个 终端 输入 时 ， 它 必须 把 每 一 个 字符 马 
上 传 给 主机 。 当 数据 在 字 节 大 小 的 分 组 里 进行 处 理 时 ，CBC 模 式 就 不 能 
做 到 了 。 








在 CFB 模 式 下 ， 数 据 可 以 在 比分 组 小 的 单元 里 进行 加 密 。 下 面 的 例 
子 就 是 一 次 加 密 一 个 ASCII 字 符 〈 称 为 8 位 CFB ) ， 这 里 数字 8 没 任何 特 
殊 性 ， 也 可 以 用 1 位 CFB 一 次 加 密 一 位 数据 。 尽 管用 完整 的 分 组 加 密 算 
法 对 单独 一 位 进行 加 密 好 像 也 能 工作 ， 但 用 序列 密码 算法 更 好 《〈 并 不 提 
倡 利用 减少 分 组 的 大 小 来 加 快速 度 (12691 ) 。 也 可 以 使 用 64 位 CFB 或 
者 任意 n 位 CFB 〈 其 中 n 小 于 或 等 于 分 组 大 小 ) 。 





图 9-9 说 明了 64 位 分 组 算法 下 的 8 位 CFB 模 式 的 工作 原理 。CFB 模 式 
下 的 分 组 算法 对 输入 分 组 大 小 的 队列 进行 操作 。 开 始 ， 该 队列 就 像 在 
CBC 模 式 下 一 样 用 IV 填 充 ， 然 后 对 队列 进行 加 密 。 加 密 后 最 左 端 的 8 位 
与 明文 最 初 的 8 位 字符 异 或 ， 生 成 密 文 最 初 的 8 位 字符 ， 并 传送 出 去 。 将 
这 8 位 移 至 队列 的 最 右 端 ， 然 后 其 他 位 同 左 移动 8 位 ， 最 左 器 的 8 位 丢 





弃 。 其 他 明文 字符 如 法 炮制 。 解 密 是 一 个 逆 过 程 。 在 加 密 和 解密 端 ， 分 
组 算法 用 于 其 加 密 模 式 中 。 








移 位 寄存 器 移 位 寄存 器 
最 后 8 字 节 ae 
ZK 加 密 





图 9-9 8 位 密码 反馈 方式 


如 果 算 法 的 分 组 是 n 位 ， 那 么 ，n 位 CFB 就 像 〈 见 图 9-10) : 





Ci C, 


l 


i+] 
图 9-10 mn 位 分 组 算法 下 的 n 位 CFB 模 式 

C; =P; BEx (Ci ) 

P; =C; @EK (Gia ) 

与 CBC 模 式 类 似 ，CFB 模 式 将 明文 字符 连接 起 来 以 使 密 文 依赖 所 有 


以 前 的 明文 。 


9.6.1 ”初始 化 癌 量 


为 了 初始 化 CFB 过 程 ， 分 组 算法 的 输入 必须 用 IV 初 始 化 。 就 像 在 
CBC 模 式 中 使 用 IV 一 样 ， 它 并 不 需要 保密 。 


尽管 这 样 ，IV 必 须 是 唯一 的 。〔 这 是 与 CBC 模 式 不 同 的 地 方 ，CBC 
模式 中 IV 应 该 唯一 旦 不 是 必须 。〉 如 果 在 CFB 模 式 下 IV 不 是 唯一 的 ， 密 
码 分 析 者 就 可 以 恢复 相应 的 明文 。 对 不 同 的 消息 ，IV 必 须 不 同 。 它 可 以 

是 一 个 序列 号 ， 每 一 个 消息 后 递增 ， 以 保证 在 密 钥 有 效 期 内 不 会 重复 。 
对 用 于 存储 的 加 密 数 据 ， 它 可 以 是 用 来 查找 数据 的 索引 函数 。 


96.2 ”错误 扩散 





在 CFB 模 式 中 ， 明 文 的 一 个 错误 就 会 影响 所 有 后 面 的 密 文 以 及 在 解 
密 过 程 中 改变 它 自己 。 密 文 出 现 错误 就 更 有 趣 了 : 首先 ， 密 文中 1 位 的 
错误 会 引起 明文 的 一 个 单独 错误 。 除 此 之 外 ， 错 误 进 入 移 位 寄存 器 ， 导 
致密 文 变 成 无 用 的 信息 直到 该 错误 从 移 位 寄存 器 的 另 一 端 移出 。 在 8 位 
CFB 模 式 中 ， 密 文中 1 位 的 错误 会 使 加 密 的 明文 产生 9 字 节 的 错误 。 之 
后 ， 系 统 恢复 正常 ， 后 面 的 密 文 也 重新 正确 解密 。 通 常情 况 下 ， 在 n 位 
CFB 模 式 中 一 个 密 文 错误 会 影响 当前 和 随后 的 m/n-1 个 分 组 的 解密 ， 其 
中 m 是 分 组 大 小 。 


志 关 错误 扩散 的 一 个 严重 问题 证， 如 果 Mallory 熟 悉 某 个 正在 传输 
的 明文 ， 他 就 可 以 窜改 茶 个 分 组 里 的 茶 些 位 ， 使 它们 解密 成 目 己 想 要 的 


信息 。 下 一 个 分 组 会 解密 成 “垃圾 *”， 但 破坏 已 经 发 生 了 。 他 还 可 以 更 改 
消 妃 的 最 后 一 些 位 而 不 被 发 现 。 








CEFB 借 式 对 同步 错误 来 说 ， 同 样 是 自 恢 复 的 。 错 误 进 入 移 位 寄存 需 
就 可 以 使 8 字 节 的 数据 毁坏 ， 直 到 它 从 妨 一端 移 出 寄存 器 。CFB 是 分 组 
密码 算法 用 于 目 同步 序列 密码 算法 的 一 个 实例 〈 分 组 级 ) 。 


9.7 ”同步 序列 密码 


在 同步 序列 密码 (synchronous stream cipher) 中 密 钥 序列 是 独立 于 
消息 序列 而 产生 的 。 苗 方 称 之 为 密 钥 目 动 密 钥 (Key Auto-Key， 
KAK) 。 在 加 密 痢 ， 密 钥 序 列 发 生 器 产生 密 钥 序列 位 ， 在 解密 痢 ， 男 一 
个 发 生 器 产生 完全 相同 的 密 钥 序 列 位 。 两 个 密 钥 序列 发 生 器 同步 以 后 ， 
这 种 一 致 就 开始 了 。 如 果 其 中 一 个 发 生 器 跳 过 一 个 周期 或 者 一 个 密 文 位 
在 传输 过 程 中 丢失 了 ， 那 么 错误 后 面 的 每 一 个 密 文 字符 都 不 能 正确 解 











如 果 错 误 不 幸 发 生 了 ， 发 送 者 和 接收 者 就 必须 在 继续 进行 之 前 使 两 
个 密 钥 序列 发 生 器 重新 同步 。 他 们 必须 这 样 做 以 保证 密 钥 序列 的 任意 部 
分 不 会 重复 ， 重 新 设置 及 生 器 回 到 前 一 个 状态 ， 这 个 简单 的 方法 是 不 行 
的 。 


幸运 的 是 ， 同 步 密码 并 不 扩散 传输 错误 。 如 果 一 位 在 传输 中 改变 了 
(这 比 丢 失 一 位 的 可 能 性 大 得 多 ) ， 那 么 只 有 该 位 不 能 正确 解密 ， 前 面 
和 后 面 的 位 都 不 会 受 影 啊 。 


由 于 在 加 密 和 解密 两 端 密 钥 序列 发 生 器 必须 产生 同样 的 输出 ， 所 以 
它 必 须 是 确定 的 。 因 为 它 是 用 有 限 状 态 机 右 实 现 的 “如 计算 机 〉， 所 以 
密 钥 序列 一 定 会 重复 。 这 些 密 钥 序列 发 生 器 称 为 周期 性 的 














(periodic) 。 除 一 次 一 密 乱 码 本 外 ， 所 有 密 钥 序列 发 生 器 都 是 周期 性 
的 。 


发 生 器 的 周期 必须 非常 长 ， 要 比 密 钥 更 换 之 前 发 生 器 所 能 输出 位 的 
长 度 还 要 长 得 多 。 如 果 其 周期 比 明文 短 ， 那 么 明文 的 不 同 部 分 将 用 同样 
的 蜜 钥 序 列 加 密 一 一 这 是 一 个 严重 的 弱点 。 如 果 蜜 码 分 析 者 熟悉 这 样 的 
一 批 明文 ， 他 就 可 以 恢复 密 钥 序列 ， 然 后 恢复 更 多 的 明文 。 即 使 分 析 者 
仅 有 密 文 ， 他 也 可 以 将 用 同一 个 密 钥 序列 加 密 的 不 同 部 分 密 文 进行 异 或 
得 到 明文 与 明文 的 寞 或 ， 这 只 是 一 个 有 非常 长 密 钥 的 简单 寞 或 运算 。 











周期 需要 多 长 取决 于 应 用 。 用 于 加 密 连 续 T-1 连 接 的 密 钥 序 列 发生 
器 每 天 加 密 23“ 位， 那么 它 的 周期 应 该 比 这 个 数 大 几 个 数量 级 ， 而 且 密 
钥 每 天 都 要 更 换 。 如 果 周 期 足够 长 ， 你 仅仅 需要 每 周 或 者 甚至 每 月 才 更 
HEH o 














同步 序列 密码 同样 可 防止 密 文中 的 插入 和 删除 ， 因 为 它们 会 使 系统 
失去 同步 而 立即 被 发 现 。 然 而 ， 却 不 能 避免 某 个 位 被 窜改 。 就 像 CFB 模 
式 下 的 分 组 密码 算法 ，Mallory 更 换 数据 序列 中 的 某 个 位 ， 如 果 他 熟悉 
明文 ， 他 就 可 以 使 那些 位 解密 成 他 想 要 的 。 后 面 的 位 仍 正确 地 解密 ， 所 
以 在 很 多 应 用 中 Mallory 仍 可 进行 某 些 破坏 。 


插入 攻击 


同步 序列 密码 对 插入 攻击 (insertion attack) 非常 敏感 [93] 。 
Mallory 记 录 了 一 些 密 文 序列 ， 但 他 并 不 知道 明文 或 用 来 加 密 明文 的 密 
钥 序列 。 





原始 明文 : P, P, P, P, 
原 台 密 钥 序列 Ki K: K; K, 
原始 密 文 : Ci C3 C3 Cy 


Mallory 在 明文 pi 后 面 插入 一 个 已 知 位 p"， 他 能 够 使 修改 后 的 明文 被 
相同 的 密 钥 序列 加 密 。 他 记录 新 的 密 文 : 


新 的 明文 : P， 已 P, P, P, 
原始 密 钥 序列 : K, K: K; K K; 
更 新 的 密 文 : Gi ç 人 Ci c! 


假定 他 知道 P' 的 值 ， 他 可 以 根据 原始 密 文 和 新 的 密 文 确定 整个 明 


HK, =C', @P' 得 到 P, =C, OK, 
由 Ks =C'3 ®P, 得 到 Ps =C3 @Ks 
HK, =C', ®P, 得 到 P, =C，@K。 


Mallory 并 不 需要 知道 插入 的 确切 位 置 ， 他 只 需 比较 原始 密 文 和 更 
新 后 的 密 文 从 哪个 地 方 不 同 即 可 。 为 了 防止 这 种 攻击 ， 永 远 不 要 使 用 同 


一 个 密 钥 序 列 加 密 两 个 不 同 的 消息 。 


9.8 输出 反馈 模式 


输出 反馈 (Output-Feedback，OFB) 模式 是 将 分 组 密码 作为 同步 序 
列 密码 运行 的 一 种 方法 。 它 与 密码 反馈 模式 相似 ， 不 同 的 是 OFB 是 将 前 
一 个 n 位 输出 分 组 送 入 队列 最 右 端的 位 置 〈 见 图 9-11) 。 解 密 是 其 逆 过 
程 ， 称 为 n 位 OFB。 在 加 密 和 解密 两 端 ， 分 组 算法 都 以 加 密 模式 使 用 。 
这 种 方法 有 时 也 叫做 内 部 反馈 (internal feedback) ， 因 为 反馈 机 制 独立 
于 明文 和 密 文 而 存在 P, 


移 位 寄存 器 移 位 寄存 器 













最 后 8 字 节 
密 钥 K 一 ~ 





图 9-11 8 位 输出 反馈 模式 


如 果 n 是 该 算法 分 组 的 大 小 ， 那 么 n 位 OFB 看 上 去 像 〈 见 图 9-12) : 





图 9-12 n 位 算法 下 的 n 位 OFB 模 式 


C;=P; BS;, Si=EK (S,,) 





Si 是 状态 ， 它 独立 于 明文 和 密 文 。 











OFB 模 式 有 一 个 很 好 的 特性 就 是 在 明文 存在 之 前 大 部 分 工作 可 以 离 
线 进行 。 当 消 妃 最 终 到 达 时 ， 它 可 以 与 算法 的 输出 相 异 或 产生 密 文 。 


9.8.1 Meath ial se 





OFB hi 23 FF as hb ATV ee URE, IVE, {ECAR 


9.8.2 ”错误 扩散 





OFB 模 式 没 有 错误 扩散 。 密 文中 单个 位 的 错误 只 引起 已 恢复 明文 的 
单个 错误 ， 这 后 对 茶 些 数字 化 模拟 传输 非 第 有 用 ， 如 数字 化 声 普 或 视 


频 ， 这 些 场合 可 以 容 妨 蛙 个 位 错误 ， 但 不 能 容忍 扩散 错误 。 














男 一 方面 ， 不 同步 则 是 致命 的 。 如 果 加 密 端 和 人 解密 端的 移 位 寄存 器 
不 同 ， 那 么 恢复 的 明文 将 是 一 些 无 用 的 杂乱 数据 ， 任 何 使 用 OFB 的 系统 
必须 有 检测 不 同步 和 用 新 的 或 同一 个 ) IV 填 充 双 方 移 位 寄存 占 的 机 制 
以 重新 获得 同步 。 


9.8.3 ”安全 问题 


OFB 模 式 的 安全 分 析 1588 490. 431. 789) 表明 ，OFB 模 式 应 当 只 用 
在 反馈 量 大 小 与 分 组 大 小 相同 时 。 例 如 ， 在 64 位 OFB 模 式 中 只 能 用 64 位 
分 组 算法 。 即 使 美国 政府 授权 在 DES (149) 中 使 用 其 他 大 小 的 反馈 ， 也 
应 尽量 避免 。 

















OFB 模 式 将 密 钥 序列 与 明文 异 或 。 密 钥 序 列 最 终 会 重复 。 对 于 同一 
个 密 钥 ， 使 密 钥 友 列 不 重复 很 重要 ;人 耕 则 ， 就 又 无 安全 可 言 。 当 反馈 大 
小 与 分 组 大 小 相同 时 ， 分 组 密码 算法 起 到 m 位 数值 置换 (m 是 分 组 长 











FE) 的 作用 ， 并 且 平 均 周期 长 度 为 2? -1。 对 64 位 的 分 组 长 度 ， 这 是 一 个 
很 大 的 数 。 当 反馈 大 小 n 小 于 分 组 大 小 时 ， 平 均 周期 长 度 将 减 小 到 约 为 
2m“ 。 对 64 位 分 组 算法 ， 就 是 2 不 够 长 。 








9.8.4 OFB 模 式 中 的 序列 密码 





用 OFB 模 式 也 能 产生 序列 密码 。 在 这 种 情况 下 ， 密 钥 将 影响 下 一 状 
态 函 数 〔 见 图 9-13) 。 输 出 函数 并 不 依赖 密 钥 ， 而 是 经 党 简单 地 使 用 入 
部 状态 的 茶 个 位 或 多 位 的 异 或 值 。 密 人 码 复 洒 性 在 于 下 一 状态 函数 ， 该 函 
数 依赖 于 密 钥 。 这 种 方法 称 为 内 部 反馈 291 ， 因 为 对 密 钥 产生 算法 来 
说 ， 反 馈 机 制 存 在 于 内 部 。 








图 9-13 ”OFB 模 式 中 的 密 钥 序 列 发 生 器 


在 该 模式 的 一 个 变 体 中 ， 密 钥 只 决定 密 钥 序列 发 生 需 的 初始 状态 。 
在 密 钥 设置 了 发 生 器 的 内 部 状态 后 ， 发 生 需 就 不 再 受到 干扰 。 





9.9 ”计数 器 模式 








ieee hei (counter mode) 中 的 分 组 密码 算法 使 用 序列 号 作为 算 
法 的 输入 [824、498、7151] 。 不 是 用 加 密 算法 的 输出 填充 寄存 器 ， 而 是 
将 一 个 计数 器 输入 到 寄存 部 中 。 每 一 个 分 组 完成 加 密 后 ， 计 数 器 都 要 增 
加 某 个 常数 ， 一 般 为 1。 计 数 器 模式 的 同步 和 错误 扩散 特性 与 OFB 模 式 
完全 一 样 ， 但 它 解决 了 OFB 模 式 小 于 分 组 长 度 的 n 位 输出 问题 。 


没有 什么 是 专 供 计数 器 用 的 ， 它 不 必 根 据 可 能 的 输入 计数 。 可 以 将 
第 16、17 章 讲 到 的 任何 随机 序列 发 生 器 作为 分 组 算法 的 输入 ， 而 不 管 其 


在 密码 学 上 是 否 安全 。 


计数 器 模式 中 的 序列 密码 


计数 器 模式 中 的 序列 密码 算法 有 简单 的 下 一 状态 函数 和 复杂 的 依赖 
于 密 钥 的 输出 函数 。 这 种 技术 《〈 见 图 9-14) 在 文献 [498、715」 中 提 
及 。 下 一 状态 函数 可 以 与 计数 器 一 样 简 单 ， 只 要 在 前 一 状态 上 加 1 即 
Tje 





图 9-14 计数 器 模式 中 的 密 钥 序列 发 生 顺 


使 用 计数 器 模式 序列 密码 算法 ， 可 以 直接 产生 第 个 密 钥 位 K; ， 而 
不 用 先 产生 前 面 所 有 的 密 钥 位 。 只 需 简 单 地 手动 设置 计数 器 到 第 i 个 内 
部 状态 ， 然 后 产生 该 位 即 可 。 这 在 保护 随机 访问 数据 文件 时 是 非常 有 
用 。 不 用 解密 整个 文件 就 可 以 直接 解密 某 个 特殊 的 数据 分 组 。 





9.10 ”其 他 分 组 密码 模式 


9.10.1 分 组 链接 模式 


为 了 在 分 组 链接 (Block Chaining，BC) 模式 中 使 用 分 组 算法 ， 可 
以 简单 地 将 分 组 密码 算法 的 输入 与 所 有 前 面 密 文 分 组 的 异 或 值 相 异 或 。 
就 像 CBC 算 法 一 样 ， 过 程 要 从 一 个 初始 向 量 IV 开 始 。 


数学 式 表 达 如 下 : 


C: = Ex(P; O Fp), Fy, = F; @C; 
P; = F: ODx(C;), Fa = F: @C; 





与 CBC 模 式 类 似 ，BC 模 式 的 反馈 过 程 具有 扩散 明文 错误 的 性 质 ， 
BC 的 这 个 问题 是 由 于 密 文 分 组 的 解密 依赖 于 所 有 前 面 的 密 文 分 组 而 引 
起 的 ， 密 文中 单一 的 错误 都 将 导致 所 有 后 续 密 文 分 组 在 解密 中 出 错 。 





9.10.2 ”扩散 密码 分 组 链接 模式 


扩散 密码 分 组 链接 (Propagating Cipher Block Chaining, PCBC) 模 
式 [1080」 与 CBC 模 式 相 似 ， 只 是 它 在 加 密 前 《或 解密 后 ) ， 前 面 的 明 
文 分 组 、 密 文 分 组 都 与 当前 明文 分 组 相 异 或 〈 见 网 9-15) 。 








图 9-15 ”扩散 密码 分 组 链接 模式 


C; — Ex CP; O C 中 P) 
P; 一 Ci 中 Pi 中 Dx (C;) 





PCBC 模 式 用 在 Kerberos4 (824.597) 中 进行 加 密 ， 并 在 一 次 传 


递 中 完成 加 密 和 完整 性 检查 。 在 PCBC 模 式 中 ， 密 文 分 组 的 一 个 错误 将 
引起 所 有 后 续 分 组 在 解密 时 产生 错误 ， 这 意味 着 检验 消 恩 尾 的 一 个 标准 


分 组 将 能 确保 整个 消息 的 完整 性 。 











不 幸 的 是 ， 这 个 模式 有 一 个 问题 [875」 。 交 换 两 个 密 文 分 组 ， 将 使 
两 个 对 应 的 明文 分 组 不 能 正确 解密 ， 但 根据 明文 和 密 文 异 或 的 性 质 ， 错 
误 将 抵消 。 所 以 ， 如 果 完 整 性 检查 只 检查 最 后 儿 个 解密 的 明文 分 组 ， 它 
就 可 能 欺骗 接收 者 接收 部 分 错误 的 消息 。 尺 管 现 在 还 没有 人 利用 这 个 漏 
洞 ， 但 Kerberos 5 还 是 在 发 现 上 述 缺点 后 用 CBC 模 式 取代 了 它 。 

















9.10.3” 带 校 验 和 的 密码 分 组 链接 


带 校 验 和 的 密码 分 组 链接 (Cipher Block Chaining with Checksum, 
CBCC) 是 CBC 的 一 个 变 体 【1618] 。 该 模式 保存 所 有 明文 分 组 的 异 或 ， 
并 在 加 密 前 与 最 后 的 明文 分 组 异 或 。CBCC 保 证 任何 对 密 文 的 改动 都 将 
引起 最 后 分 组 解密 输出 的 改动 。 如 果 最 后 分 组 包含 某 种 完整 校 验 或 常 
数 ， 那 么 用 很 小 的 额外 操作 就 能 检验 解密 明文 的 完整 性 。 

















9.10.4 ”和 带 非 线性 函数 的 输出 反馈 


融 非 线性 函数 的 输出 反馈 (Output Feed-Back with a Nonlinear 
Function, OFBNLF) 7] 是 OFB 和 ECB 的 一 个 变 体 ， 它 的 密 钥 随 每 


C; 一 Ex, TA 3 K; = Ex K) 
P; = Dx, (Ci), K: = Ex(K-1) 


密 文 的 1 位 错误 将 只 扩散 到 一 个 明文 分 组 。 然 而 ， 如 果 丢 失 或 增加 1 
位 ， 将 会 导致 无 限 的 错误 扩散 。 如 果 使 用 一 个 有 复杂 的 密 钥 编排 算法 的 
分 组 算法 (如 DES)〉 ， 该 模式 将 很 慢 。 据 我 所 知 还 没有 对 该 模式 的 密码 
分 析 。 





9.10.5 ”其 他 模式 


可 能 还 有 其 他 的 模式 ， 虽 然 它们 并 没有 被 广泛 应 用 。 明 文 分 组 链接 
(Plaintext Block Chain-irg，PBC) 模式 与 CBC 相 似 ， 只 是 前 一 个 明文 分 
组 与 当前 明文 分 组 进行 异 或 ， 而 不 是 与 密 文 分 组 异 或 。 明 文 反 馈 
(Plaintext Feed-Back, PFB) 与 CFB 相 似 ， 只 是 将 明文 而 非 密 文 用 于 反 
馈 。 为 了 阻止 已 知 明文 攻击 ， 这 两 种 模式 准许 选择 明文 攻击 。 还 有 明文 
差分 密 文 分 组 链接 (Ciper Block Chaining of Plaintext Difference, 


CBCPD) 模式 ， 我 肯定 它 会 变 得 更 加 离奇 。 








如 果 密 码 分 析 者 有 一 台 穷 举 密 钥 搜索 机 器 ， 那 么 如 果 能 猜 出 一 个 明 
文 分 组 的 话 ， 就 能 恢复 出 密 钥 。 在 使 用 加 密 算 法 之 前 利用 一 些 陌生 的 模 





式 对 加 密 可 以 起 到 奇妙 的 作用 : 如 将 文本 与 一 确定 秘密 串 进行 异 或 ， 或 
者 对 文本 进行 置换 。 几 乎 任何 非 标准 的 东西 都 将 有 助 于 挫败 这 类 密码 分 
析 。 


9.11 选择 密码 模式 


如 果 你 关心 的 主要 是 


简单 和 速度 ， 那 么 ECB 是 最 简单 和 最 快 的 分 组 
密码 模式 ， 当 然 也 是 最 弱 的 。 除 了 容易 受到 重 放 攻 击 外 ，ECB 模 式 中 的 
算法 也 是 最 易 分 析 的 。 建 议 不 要 将 ECB 用 于 消息 加 密 


为 了 加 密 随 机 数据 ， 如 其 他 的 密 钥 ，ECB 有 是 一 个 很 好 的 模式 。 由 于 
数据 短 而 随机 ， 对 这 种 应 用 ECB 儿 乎 没什么 缺点 。 


对 于 一 般 的 明文 ， 请 使 用 CBC、CFB 或 OFB 模 式 。 选 择 的 模式 依赖 
于 你 的 特殊 需要 。 表 9-1 列 出 了 各 种 模式 的 安全 性 和 效率 。 


表 9-1 


ECB 

安全 性 

一 明文 模式 不 能 被 隐藏 

分 组 密码 的 输入 并 不 是 随机 的 ， 
十 一 个 密 钥 可 以 加 密 多 个 消息 


一 明文 很 容易 被 审改 ; 分 组 可 被 删除 、 


效率 
+ 速度 与 分 组 密码 相同 

由 于 填充 ， 密 文 比 明文 长 一 个 分 组 
一 不 可 能 进行 预 处 理 
十 处 理 过 程 并 行进 行 

容错 性 

一 个 密 文 错误 会 影响 整个 明文 分 组 
一 同步 错误 不 可 恢复 


它 与 明文 一 样 


再 现 或 互 换 


分 组 


密码 模式 一 览 


CBC 
安全 性 
十 明文 模式 通过 与 前 一 个 密 文 分 组 相 异 或 被 隐藏 
H+ 通过 与 前 一 个 密 文 分 组 相 异 或 ， 分 组 密码 的 输入 是 随机 的 
一 个 密 钥 可 以 加 密 多 个 消息 
|/ 一 究 改 明文 稍 难 ; 分 组 可 以 从 消息 头 和 消息 尾 删 除 ， 第 
一 分 组 位 可 被 更 换 ， 并 且 复 制 允许 某 些 控制 的 改变 
效率 
十 速度 与 分 组 密码 相同 
一 不 考虑 IV， 密 文 比 明文 长 一 个 分 组 
一 不 可 能 进行 预 处 理 
十 /一 加 密 不 是 并 行 的 ; 解密 是 并 行 的 且 有 随机 存 取 特 性 
容错 性 
一 一 个 密 文 错误 会 影响 整个 明文 分 组 以 及 下 一 个 分 组 的 相 
应 位 
一 同步 错误 不 可 恢复 








( 续 ) 








CFB OFB 计数 器 
安全 性 安全 性 
十 明文 模式 被 隐藏 十 明文 模式 被 隐藏 
分 组 密码 的 输入 是 随机 的 + 分 组 密 文 的 输入 是 随机 的 
十 用 不 同 的 IV, 一 个 密 钥 可 加 密 多 个 消息 十 用 不 同 的 IV， 一 个 密 钥 可 以 加 密 多 个 消息 
一 窜改 明文 稍 难 ; 分 组 可 以 从 消息 头 和 消息 尾 删 除 ， 第 | 一 明文 很 容易 被 控制 定 改 ,任何 对 密 文 的 改变 都 会 直接 影 
一 分 组 位 可 被 更 换 ， 并且 复制 允许 某 些 控 制 的 改变 响 明 文 
效率 效率 
十 速度 与 分 组 密码 相同 十 速度 与 分 组 密码 相同 
不 考虑 IV， 密 文 与 明文 同 大 小 不 考虑 IV， 密 文 与 明文 有 同样 大 小 
一 在 分 组 出 现 之 前 做 些 预 处 理 是 可 能 的 ， 前 面 的 密 文 分 | 十 消息 出 现 前 做 些 预 处 理 是 可 能 的 
组 可 以 被 加 密 /十 OFB 处 理 过 程 不 是 并 行 的 ; 计数 器 处 理 是 并 行 的 
/一 加 密 不 是 并 行 的 ; 解密 是 并 行 的 且 有 随机 存 取 特性 容错 性 
容错 性 上 一 个 密 文 错误 仅 影 响 明 文 的 相应 位 
一 一 个 密 文 错误 会 影响 明文 的 相应 位 及 下 一 个 分 组 一 同步 错误 不 可 恢复 
十 同步 错误 是 可 恢复 的 ，1 位 CFB 能 够 恢复 1 位 的 添加 
或 丢失 


一 般 来 说 ， 加 密 文 件 最 好 的 模式 是 CBC。 安 全 性 增加 是 很 有 意义 
的 ， 并 且 当 存储 数据 中 存在 某 些 错误 位 时 ， 同 步 错误 几乎 从 不 发 生 。 如 
果 应 用 是 基于 软件 的 ，CBC 总 是 最 好 的 选择 。 





CFB【〔 特 别 是 8 位 CFB》〉 通 常 是 加 密 字 符 序列 所 选择 的 模式 ， 此 时 
每 个 字符 需要 分 别处 理 ， 如 在 终端 和 主机 链 路 中 。OFB 通 常用 在 不 能 容 
妨 错 误 扩 散 的 高 速 同步 系统 中 。 如 果 需 要 预 处 理 ， 那 么 OFB 也 是 可 以 选 
择 的 模式 。 





OFB 是 在 容易 出 错 的 环境 中 所 选择 的 模式 ， 因 为 它 没 有 错误 扩散 。 


除了 所 谓 “ 神 奇 ” 模 式 外 ，ECB、CBC、OFB 和 OFB 四 种 模式 之 一 几 
乎 能 够 满足 任何 应 用 需要 ， 这 些 模式 既 不 过 分 复杂 也 不 会 减少 系统 的 安 


全 性 。 尽管 复 杂 的 模 陈 或 许 能 增加 安全 性 ， 但 大 多 数 情 况 下 它 仪 仪 是 增 
加 复杂 性 。 没 有 什么 神奇 模式 具有 好 的 错误 扩散 特性 或 错误 恢复 能 


9.12 交错 





在 大 多 数 模式 中 ， 对 1 位 〈 或 分 组 ) 的 加 密 依赖 于 前 面 位 《或 分 
ZH) 的 加 密 。 这 就 使 得 并 行 处 理 成 为 可 能 。 例 如 ， 假 定 在 CBC 模 式 下 加 
密 硬 件 盒 ， 假 设 它 由 四 块 加 密 芯 片 组 成 ， 其 中 仅 有 一 块 能 在 任意 时 间 工 
作 ， 其 余 的 已 片 需 要 得 到 前 一 已 片 的 结果 后 才 开 始 工 作 。 





解决 方案 就 是 交错 (interleave) 多 重 加 密 序列 〈 不 是 15.1 节 和 15.2 
节 讲 到 的 多 重 加 密 ) 。 它 使 用 四 个 链 代替 单一 的 CBC 链 。 第 一 、 第 五 及 
每 隔 四 块 的 分 组 使 用 一 个 IV 的 CBC 模 式 加 密 ; 第 二 、 第 六 及 每 隔 四 块 之 
后 再 用 另 一 个 IV 在 CBC 模 式 下 加 密 ; 以 此 类 推 。 总 的 IV 比 没有 交错 时 长 
得 多 。 


可 把 它 想 成 是 用 相同 的 密 钥 和 四 个 不 同 的 IV 对 四 个 不 同 的 消息 进行 
加 密 。 所 有 这 些 消息 也 都 是 相互 交错 的 。 


该 技巧 可 用 于 提高 硬件 的 整体 加 密 速 度 。 如 果 你 有 三 个 加 密 芯 片 ， 
每 一 个 加 密 速度 是 33Mb/s， 那 么 使 用 交错 就 可 以 对 一 个 100Mb/s 的 单一 


图 9-16 显 示 了 在 CFB 模 式 下 三 个 并 行 交 错 的 序列 加 密 。 这 种 思想 也 
可 以 用 任意 数目 的 并 行 序列 在 CBC 和 OFB 模 式 下 工作 。 只 是 要 记 住 每 个 














图 9-16 ”交错 的 三 个 CFB 模 式 加 密 


9.13 分 组 密码 与 序列 密码 





尽管 分 组 和 序列 密码 非常 不 同 ， 但 分 组 密码 也 可 作为 序列 密码 使 
用 ， 反 之 亦 然 。 我 所 见 到 的 对 两 者 最 好 的 区 别 定 义 是 在 文献 C1362] 


分 组 密码 是 对 一 个 大 的 明文 数据 块 〈 分 组 ) 进行 固定 变换 的 操作 





序列 密码 是 对 单个 明文 位 的 随时 间 变 换 的 操作 。 


在 现实 世界 中 ， 分 组 密码 似乎 更 加 通用 (如 它们 能 够 用 四 种 模式 中 
的 任意 一 种 ) ， 而 序列 密码 好 像 更 多 用 于 数学 分 析 。 有 大 量 序列 密码 分 
析 和 设计 方面 的 理论 著作 一 一 由 于 茶 些 原因 ， 大 多 数 在 欧洲 完成 。 目 从 
电子 技术 发 明 以 来 ， 它 们 被 各 国 军 方 所 使 用 。 不 过 ， 情 况 好 像 正在 改 
变 。 近 年 来 ， 有 大 量 论文 是 关于 分 组 密码 设计 的 。 或 许 不 久 以 后 ， 分 组 
密码 设计 方面 的 理论 就 能 像 现在 序列 密码 设计 的 理论 一 样 丰富 。 














然而 ， 两 者 之 间 的 区 别 主要 体现 在 实现 上 。 每 次 只 能 对 一 个 数据 位 

行 加 密 和 解密 的 序列 密码 并 不 适用 于 软件 实现 。 分 组 密码 算法 就 可 以 
很 容易 地 用 软件 实现 ， 因 为 它 可 以 避免 耗 时 的 位 操作 ， 并 且 它 易于 处 理 
计算 机 界定 大 小 的 数据 分 组 。 男 一 方面 ， 序 列 密码 更 适合 用 人 硬件 实现 ， 
因为 使 用 硅 材 料 可 以 非常 有 效 地 实现 它 








这 些 是 值得 考虑 的 事情 。 对 数字 通信 信道 上 的 人 硬件 加 密 设 备 来 说 ， 
每 经 过 1 位 就 加 密 1 位 非常 有 意义 ， 这 是 这 些 设备 的 长 处 。 另 一 方面 ， 用 
软件 加 密 设 备 加 密 每 一 个 分 离 的 单个 位 没有 意义 。 还 有 一 些 特殊 的 场 





合 : 在 一 个 计算 机 系统 中 逐 位 、 逐 字 市 加 密 是 必需 的 〈 例 如， 对 键盘 和 
CPU 之 间 的 连接 进行 加 密 ) ， 但 古 一 般 来 说 ， 加 密 分 组 至 少 是 数据 总 线 
的 宽度 。 


第 10 章 ”使 用 算法 


将 安全 性 (包括 数据 安全 性 、 通 信安 全 性 、 信 息 安全 性 等 ) 想象 为 
一 条 链子 。 整 个 系统 的 安全 性 是 其 中 最 脆弱 连接 的 安全 性 。 每 一 件 东西 
都 必须 安全 : 加 密 算 法 、 协 议 、 密 钥 管理 以 及 更 多 。 如 果 算 法 很 好 ， 但 
rE REALE ate Re HE, AA HS YE oo WT ea a BEEZ CE a BO AR 
统 ， 如 果 你 修复 了 一 个 漏洞 ， 但 起 了 安全 地 删除 包含 密 钥 的 那 块 内 存 ， 
那么 分 析 者 通过 程序 可 以 攻破 你 的 系统 ;如 果 你 的 什么 东西 都 是 正确 
的 ， 但 偶尔 将 一 封 合 有 你 安全 文件 副本 的 E-mail 发 给 了 《华尔街 日 
报 》， 你 可 能 得 到 同样 的 结果 。 





太 不 公平 了 。 作 为 一 个 安全 系统 的 设计 者 ， 你 必须 想到 每 一 个 可 能 
的 攻击 方法 及 其 对 策 ， 而 一 个 密码 分 析 者 只 需 找 到 你 的 安全 漏洞 及 怎样 
利用 它 。 


密码 学 仅 是 安全 性 的 一 部 分 ， 甚 至 经 常 是 很 小 的 一 部 分 。 它 仅 在 数 
学 上 使 一 个 系统 安全 ， 这 与 实际 使 系统 安全 是 两 码 事 。 密 码 学 有 它 
的 “size queens: ”人 们 在 花费 很 多 的 时 间 讨 论 密 钥 应 该 有 多 长 时 ， 通 常 
忘记 了 其 他 的 事情 。 如 果 秘 密 警 察 想 知道 计算 机 里 有 什么 ， 那 么 对 他 们 
来 说 潜入 房间 中 安置 一 个 摄像 机 ， 让 它 记录 你 的 计算 机 屏 磊 总 比分 析 你 
的 硬盘 驱动 器 容易 得 多 。 

















此 外 ， 对 于 计算 机 密码 学 ， 传 统 的 看 法 是 “ 间 诬 与 反 间 诬 ” 搁 术 ， 并 
且 这 种 看 法 越 来 越 不 恰当 。 世 界 上 超过 99% 的 密码 学 并 没有 用 来 保护 苗 
事 机 密 ， 它 们 被 用 于 诸如 银行 卡 、 付 费 电 视 、 道 路 收费 、 办 公 大 楼 以 及 
计算 机 访问 令 牌 、 抽 彩 设备 、 预 付款 电子 计量 器 等 [3、4」 。 在 这 些 
应 用 中 ， 密 码 的 作用 束 是 使 举 副 的 犯罪 更 困难 ， 而 对 那些 拥有 许多 局 葛 
聘请 的 有 才能 的 密码 分 析 者 和 满 屋子 计算 机 的 攻击 者 并 不 适用 。 








这 些 应 用 大 部 分 使 用 了 性 能 差 的 密码 算法 ， 但 是 成 功 地 攻击 它们 与 
密码 分 析 没 有 多 大 关系 。 它 们 与 受 欺 骗 的 雇员 、 聪 明 的 敲诈 行为 、 思 总 
的 实现 、 频 繁 地 说 漏 嘴 、 随 便 的 举止 等 有 关 〈 我 强烈 建议 上 面 所 述 的 某 
些 人 阅读 Ross Anderson 的 论文 “Why Cryptosystems Fail”) 。 甚 至 NSA 也 
承认 ， 在 它 关 注 领域 的 大 多 数 安全 失败 是 由 工作 运作 错误 引起 的 ， 而 不 
是 算法 或 协议 上 的 失败 【1119」。 在 这 些 场合 ， 密 码 算法 再 好 也 没有 什 
么 用 处 ， 成 功 的 攻击 完全 可 以 绕 过 它 。 


10.1 选择 算法 

当 开 始 估计 并 选择 算法 时 ， 人 们 有 下 面 几 种 选择 ， 

.他 们 可 以 选择 一 个 公开 的 算法 ， 基 于 相信 一 个 公开 的 算法 已 经 受 
到 许多 分 析 者 的 攻击 ， 如 果 还 没有 人 破解 它 ， 说 明 它 很 好 。 


:他们 可 以 相信 和 制造 商 ， 基 于 相信 一 个 很 有 名 的 制造 商 不 会 用 他 们 
的 名 誉 冒险 出 售 具 有 缺陷 算法 的 设备 。 





他 们 可 以 相信 私人 顾问 ， 基 于 相信 一 个 公正 的 很 有 名 望 的 顾问 对 
市 场 上 算法 的 估计 很 有 见解 。 








-他们 可 以 相信 政府 ， 基 于 相信 政府 是 最 值得 信赖 的 ， 它 不 会 欺骗 


A 


-他们 可 以 写 自己 的 算法 ， 基 于 相信 他 们 的 算法 不 次 于 别人 的 ， 并 
且 他 们 除了 自己 ,不 信任 任何 人 。 


当然 这 些 选 择 都 有 些 问题 ， 但 第 一 种 选择 似乎 是 最 明知 的。 相信 和 制 
造 商 、 顾 间 、 政 府 殊 等 于 是 上 自 找 诬 烦 。 那 些 自 称 是 安全 顾问 的 多 数 人 
(甚至 来 自 很 有 名 的 公司 )， 连 加 密 知 识 都 不 懂 。 大 多 数 安全 产品 
的 制造 两 也 不 会 更 好 。NSA 有 一 大 批 世界 著名 的 密码 学 家 为 它 工作 ， 但 














他 们 从 来 未 告诉 你 所 有 他 们 知道 的 ， 他 们 所 退 逐 的 利益 并 不 与 他 们 公民 
的 利益 相 一 至。 即使 你 是 天 才 ， 在 没有 同行 审查 的 情况 下 ， 使 用 你 自己 
编写 的 算法 也 将 是 砷 大 的。 





本 书 中 的 所 有 算法 都 是 公开 的 ， 它 们 已 公开 发 行 并 被 这 方面 的 专家 
分 析 过 。 我 列 出 了 所 有 公布 的 结果 ， 其 中 有 正面 的 也 有 上 反面 的 。 我 并 没 
有 接近 世界 上 任何 军事 安全 组 织 所 做 的 分 析 〔 它 们 也 许 比 学 术 组 织 做 得 
好 一 一 他 们 已 做 了 很 长 时 间 并 有 很 高 的 薪水 〉，， 所 以 这 些 算法 也 许 很 容 
易 被 破译 ， 即 使 这 样 ， 它 们 也 很 可 能 比 那些 在 茶 个 公司 的 地 下 室 秘 密 设 
计 和 实现 的 算法 更 安全 。 


所 有 这 些 理由 的 漏洞 是 我 们 并 不 知道 各 种 军事 密码 分 析 组 织 的 能 
pa 


NSA 可 以 破译 什么 样 的 算法 ? 对 我 们 中 的 大 多 数 人 来 说 ， 确 实 无 法 
知道 。 如 果 你 同一 块 用 DES 加 密 的 计算 机 硬盘 一 起 被 捕 的 话 ， 在 审讯 你 
时 ，FBI 古 不 可 能 引用 人 硬盘 的 解密 明文 的 ， 他 们 能 够 攻破 一 个 算法 这 个 
事实 经 常 比 破译 的 任何 信息 更 值得 保密 。 第 二 次 世界 大 战 期 间 ， 嚼 苗 被 
茶 止 使 用 解密 的 德国 过 诉 的 信息 ， 除 非 能 够 巧妙 地 从 其 他 地 方 获得 这 些 
信息 。NSA 承 认 ， 能 够 攻破 茶 个 给 定 算 法 的 唯一 方法 是 加 密 一 个 非常 有 
价值 的 东西 ， 然 后 公布 加 密 的 消息 。 或 者 ， 可 能 更 好 ， 制 造 一 个 真正 滑 
简 的 笑话 ， 然 后 明 过 加 密 的 E-mail 把 它 传 给 一 个 不 可 靠 的 人 。NSA 的 雇 
员 同 样 是 人 ， 我 对 他 们 能 为 一 个 好 笑话 保住 秘密 持 怀疑 态度 。 


一 个 好 的 、 可 行 的 假设 是 NSA 可 以 读 到 它 选择 的 任何 信息 ， 而 不 是 
它 不 能 读 任何 它 选 择 的 信息 。NSA 受 资源 限制 不 得 不 在 各 种 目标 中 进行 
挑选 。 男 一 个 好 的 假设 是 他 们 宁愿 破译 一 些 关 键 部 位 而 不 破译 整个 密 
码 。 这 种 侦 爱 非常 强烈 ， 以 至 于 当 他 们 想 为 他 们 曾 读 过 该 消 妃 保密 时 ， 
就 不 得 不 求助 于 攻击 整个 密码 。 


无 论 怎么 样 ， 我 们 能 够 做 得 最 好 的 选择 是 选择 公开 的 算法 ， 它 们 已 
经 历 过 了 公开 检验 和 分 析 。 


算法 的 出 口 


美国 出 口算 法 必须 经 美国 政府 批准 (实际 上 是 NSA 
市 ) 。 广 泛 认 为 这 些 被 批准 出 口 的 算法 NSA 都 能 破译 它 。 虽 然 没 有 人 承 
认 它 ， 但 谣传 NSA 对 那些 希望 出 口 密码 成 果 的 公司 曾 私下 建议 : 


参见 25.1 





-偶尔 泄露 一 位 密 钥 ， 将 其 藏 在 密 文 中 。 


在 30 位 内 隐 埋 有 效 密 钥 。 比 如 ， 一 个 算法 可 能 接收 100 位 的 密 钥 ， 


但 大 部 分 可 能 是 等 价 的 。 





使 用 固定 的 IV， 或 者 在 每 条 加 密 消 息 的 开头 加 密 一 个 固定 头 部 ， 
以 允许 选择 明文 攻击 。 


产生 一 些 随机 字 节 ， 并 用 密 钥 将 其 加 密 ， 接 看 将 这 些 随机 字 市 的 


明文 和 密 文 放 在 被 加 蜜 消息 的 开头 ， 这 也 多 许 已 知 明文 攻击 。 


NSA 得 到 一 个 源码 副本 ， 但 加 密 算 法 细节 对 外 仍 保密 ， 当 然 没 有 人 
大 肆 宣 扬 这 些 细 市 的 弱点 ， 但 请 意识 到 你 买 的 是 得 到 出 口 许可 的 美国 加 
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10.2 ”公开 密 钥 密码 系统 与 对 称 密码 系统 


公开 密 钥 密码 系统 与 对 称 密码 系统 哪 一 个 更 好 呢 ? 这 个 问题 没有 任 
何 意 义 ， 但 是 自从 公开 密 钥 密码 系统 产生 以 来 束 一 直 争 论 不 休 。 这 个 和 争 
论 假定 两 种 密码 算法 可 以 基于 同一 个 基础 点 进行 比较 。 事 实 上 并 非 如 
IH. 











Needham #llSchroeder 11159] 指出 使 用 公开 密 钥 算法 的 消息 的 数量 
和 长 度 比 对 称 算法 大 得 多 。 他 们 的 结论 是 对 称 算法 比 公 开 密 钥 算 法 更 有 
效 ， 尺 管 这 是 正确 的 ， 但 这 种 分 析 忽 视 了 公开 密 钥 方 案 的 安全 性 意义 。 


Whitfield Diffie 在 文献 L492、494」 中 写 道 : 





按照 把 公开 密 钥 作为 一 种 新 的 密码 系统 而 不 是 新 的 密 钥 管 理 形 式 的 
观点 ， 从 安全 性 与 性 能 两 方面 考虑 ， 我 站 在 批评 者 的 一 边 。 反 对 者 立即 
指出 RSA 体 制 运行 速度 是 DES 的 和 干 分 之 一 且 要 求 10 倍 长 的 密 钥 。 尺 管 从 
一 开始 公开 密 钥 系 统 就 被 限制 用 于 传统 (对 称 〉 密 码 学 的 密 钥 交 换 ， 明 
显 这 也 是 不 必要 的 。 在 这 种 情况 下 ， 建 立 一 种 混合 密码 系统 “879」 的 建 
议 被 作为 一 个 新 的 发 现 得 到 了 很 大 的 响应 。 





J, 


\ 开 密 钥 密 码 与 对 称 密 码 是 两 种 不 同 的 东西 ， 它 们 解决 不 同 的 问 
题 。 对 称 密码 适合 加 密 数 据 ， 它 速度 极 快 并 且 对 选择 密 文 攻击 不 敏感 ; 


D 


公开 密 钥 密码 可 以 做 对 称 密码 所 不 能 做 的 事情 ， 
一 部 分 讨论 的 大 量 协 议 。 


AAA 


第 一 部 分 还 介绍 了 其 他 一 些 术语 : FET BS RB TA SE AE 


分 
表 10-1 列 出 了 各 种 不 同 算法 及 其 性 质 [804] 


表 10-1 各 类 算法 





算法 机 密 性 验证 完整 性 密 钥 管理 
对 称 加 密 算法 是 a T 是 
公开 密 钥 加 密 算法 是 否 否 是 
数字 签名 算法 否 是 是 否 
密 钥 共识 算法 是 可 选 否 是 
单 向 散 列 函数 否 T 是 否 
消息 验证 代码 AP 是 是 a 


10.3 ”通信 信道 加 密 


这 是 一 个 典型 的 Alice 与 Bob 问 题 : Alice 想 传送 一 个 安全 的 消息 给 
Bob， 她 怎样 做 ? 她 将 消息 加 密 。 


理论 上 ， 加 密 可 以 在 开放 系统 互联 (Open Systems Interconnect, 
OSI) 通信 模型 的 任何 层 进行 。 (更 多 信息 参见 OSI 安 全 结构 标准 [305] 
。) 事实 上 ， 加 密 一 般 在 最 底层 〈 第 一 或 第 二 层 ) 或 较 高 层 。 如 果 在 最 
底层 加 密 ， 就 称 为 链 - 链 加 密 〈]link-by-link encryption) ， 通 过 特定 数据 
连接 的 任何 数据 都 要 被 加 密 。 如 果 发 生 在 较 高 的 层 ， 就 称 为 端 - 端 加 符 
(end-to-end encryption) 。 数 据 被 选择 性 地 加 密 ， 并 且 只 在 最 后 的 接收 
端 进行 解密 。 两 种 方法 各 有 优 缺 点 。 














10.3.1 ‘4-#4E 002% 


最 容易 加 密 的 地 方 是 在 物理 层 〈 见 图 10-1) ， 这 叫做 链 - 链 加 密 。 通 
种 ， 物 理 层 接口 是 标准 的 ， 并 且 在 此 处 最 容易 连接 硬件 加 密 设 备 。 这 些 
设备 对 通过 它们 的 所 有 数据 进行 加 密 ， 包 括 数 据 、 路 由 信息 、 协 议 信息 
等 。 它 们 可 以 用 于 任何 类 型 的 数据 通信 链 路 上 。 另 一 方面 ， 发 送 问 与 接 
收 端 之 间 的 任何 智能 交换 或 存储 节点 都 必须 在 处 理 这 些 数据 序列 之 前 对 























图 10-1 链 路 加 密 


这 种 类 型 的 加 密 非 常 有 效 ， 因 为 任何 东西 都 被 加 密 ， 密 码 分 析 者 得 
不 到 任何 关于 消息 结构 的 信息 ， 他 们 不 知道 谁 正在 与 谁 通话 ， 发 送 消息 
多 长 ， 哪 天 进行 的 通信 等 ， 这 叫做 流量 保密 Ctraffic-flow security) 。 
敌人 不 仅 不 能 存 取消 息 ， 而 且 也 不 知道 消息 的 出 处 与 去 处 。 





系统 安全 性 不 依赖 于 任何 流量 管理 技术 。 密 钥 管 理 也 简单 ， 仅 仅 是 
线路 的 两 端 需 要 共同 的 密 钥 ， 它 们 可 以 独立 于 网 络 其 他 部 分 而 更 换 密 
钥 。 





设想 一 个 用 1 位 CFB 加 密 的 同步 通信 线路 。 在 初始 化 后 ， 线 路 可 以 
无 限 地 运行 ， 位 或 同步 错误 目 动 恢复 。 无 论 什 么 时 候 消 息 从 一 器 发 往 忆 
一 关 ， 线 路 都 被 加 密 ， 没 有 消息 时 就 加 密 、 解 密 随 机 数据 。Eve 不 知道 
什么 时 候 发 送 消 轧 ， 什 么 时 候 不 发 ， 也 不 知 其 开始 与 结束 。 她 所 看 见 的 
只 是 无 穷 无 尽 的 看 上 去 随机 的 位 序列 。 











如 打通 信 线 路 是 异步 的 ， 同 样 可 以 使 用 1 位 CFB 模 式 。 不 同 的 古 敌 
方 可 以 知道 信息 的 传输 率 。 如 采信 息 必 须 隐蔽 ， 那 么 必须 做 些 防备 ， 以 
使 消息 在 空余 时 间 悄 悄 传 过 





物理 层 加 蜜 的 最 大 问题 是 : 网络 中 的 每 个 物理 链 路 都 必须 加 密 ， 如 
果 有 一 处 没 加 密 束 会 危及 整个 网 络 的 安全 。 如 果 网 络 很 大 ， 这 类 加 密 的 
开销 会 变 得 很 大 ， 以 至 于 限制 了 它 的 实施 。 





另外 ， 必 须 保 护 网 络 中 每 个 节 氮 ， 因 为 它 处 理 未 加 密 的 数据 。 如 果 
网 络 中 的 每 个 用 户 都 相互 信任 ， 并 且 每 个 市 点 都 很 安全 ， 这 或 许可 以 接 
受 。 但 这 是 不 可 能 的 ， 即 使 在 一 个 公司 里 ,信息 可 能 必须 在 茶 个 部 门 里 
保密 ， 如 果 网 络 偶然 将 信息 发 错 了 路 线 ， 任 何人 都 可 以 看 到 它 。 表 10-2 
we BEBE IE HER o 


表 10-2 ” 链 - 链 加 蜜 的 优点 与 缺点 
优点 
易 操 作 ， 因 为 它 对 用 户 是 透明 的 ， 即 在 通过 链 路 传送 之 前 所 有 数据 都 被 加 密 
每 一 次 链接 只 需要 一 组 密 钥 
因为 任何 路 由 信息 都 被 加 密 ， 所 以 能 够 提供 安全 的 通信 序列 
加 密 是 在 线 的 
缺点 
在 中 间 节 点 间 数 据 易 被 暴露 


10.3.2 ” 端 - 端 加密 


一 种 处 理 方 法 是 将 加 密 设 备 放 在 网 络 层 和 传输 层 之 间 ， 加 蜜 设备 
必须 根据 低 三 层 的 协议 理解 数据 ， 并 且 只 加 密 传输 层 的 数据 单元 。 这 些 
加 密 的 数据 单元 与 未 加 密 的 路 由 信息 重新 结合 ， 然 后 送 到 下 一 层 进行 传 
输 。 





这 种 处 理 方法 避免 了 在 物理 层 中 出 现 的 加 密 和 解密 问题 。 通 过 端 - 
端 加 密 ， 数 据 一 直 保持 加 密 状 态 ， 直 到 到 达 目 的 地 才 被 解密 〈 见 图 10- 
2) 。 端 - 端 加 密 的 主要 问题 是 路 由 信息 未 被 加 密 ， 一 个 好 的 密码 分 析 者 
可 以 据 此 知道 谁 和 谁 通信 ， 何 时 通信 以 及 时 间 多 长 ， 而 并 不 需要 知道 通 
信 内 容 。 其 次 ， 密 钥 管 理 也 很 困难 ， 因 为 每 个 用 户 必须 确保 他 们 与 其 他 
人 有 共同 的 密 钥 。 








制造 端 - 端 加 密 设 备 很 困难 。 每 一 个 特殊 的 通信 系统 有 其 自身 的 协 
议 。 有 时 这 些 层 之 间 的 接口 没有 很 好 的 定义 也 使 任务 更 加 困难 。 








如 果 加 密 发 生 在 通信 系统 的 高 屋 ， 如 应 用 层 或 表示 层 ， 那 么 它 可 以 
独立 于 网 络 所 用 的 通信 结构 。 它 仍 是 端 - 端 加 密 ， 但 加 密实 现 并 不 扰乱 
线路 编码 、 两 个 调制 解 调 器 间 的 同步 、 物 理 接 口 等 。 在 早期 的 电子 机 械 
密码 学 中 ， 加 密 和 解密 完全 是 离线 的 ， 这 里 只 是 疝 前 走 了 一 





在 这 些 高 层 进 行 加 密会 与 相应 层 的 软件 相互 作用 ， 这 些 软件 因 计算 
机 结构 的 不 同 而 不 同 ， 因 而 必须 针对 不 同 的 计算 机 系统 ， 通 过 软件 自身 
或 特殊 的 硬件 进行 加 密 。 后 一 种 情况 下 ， 计 算 机 在 发 送 到 低层 进行 传输 








之 前 数据 必须 用 特殊 的 硬件 加 密 。 这 种 处 理 需 要 智能 终端 而 不 适合 非 智 
能 终端 ， 男 外 可 能 还 有 各 种 不 同类 型 计算 机 之 间 的 兼容 问题 。 


端 - 并 加 密 的 最 大 缺点 是 它 允 许 流量 分 析 (traffic analysis) 。 流 量 
分 析 主 要 分 析 : 数据 从 哪里 来 ， 到 哪里 去 ， 什 么 时 候 发 送 ， 传 送 多 长 时 
间 ， 发 送 频繁 程度 ， 是 否 与 其 他 事件 〈 如 会 议 等 ) 有 关联 等 。 大 量 有 用 
的 信息 埋藏 在 传送 的 数据 中 ， 密 码 分 析 者 可 得 到 很 大 帮助 。 表 10-3 列 出 
了 端 - 端 加 密 的 优 缺 点 。 








表 10-3” 端 - 端 加 密 的 优点 与 缺点 
优点 
保密 级 别 更 高 


需要 更 复杂 的 密 钥 管理 系统 
分 析 是 可 能 的 ， 因 为 路 由 信息 未 被 加 窗 


10.3.3 ”两 者 的 结合 


表 10-4 主 要 摘自 文献 [1244] ， 对 上 面 两 种 加 密 方法 进行 了 比较 。 
将 闯 - 端 与 链 - 链 加 密 相 绪 合 ， 尽 管 很 昂贵 ， 却 是 一 种 有 效 的 网 络 安全 方 


法 ， 加 密 每 个 物理 链 路 使 得 对 路 由 信息 的 分 析 成 为 不 可 能 ， 而 问 - 问 加 
密 减少 了 网 络 市 点 中 未 加 密 数 据 处 理 带 来 的 威胁 。 对 两 种 方 采 的 密 钥 管 
理 可 以 完全 分 开 : 网 络 管理 人 员 可 以 只 关心 物理 层 ， 而 每 个 用 户 只 负责 
相应 的 端 - 端 加 密 。 


表 10-4 ” 链 - 链 加 密 与 端 - 端 加密 的 比较 


链 - 链 加 密 
主机 内 部 安全 性 
发 送 主机 内 部 消息 暴露 

交换 节点 消息 暴露 
用 户 的 作用 

发 送 主机 使 用 

对 用 户 不 可 见 

主机 保持 加 密 

对 所 有 用 户 便利 

可 以 硬件 完成 

消息 全 部 被 加 密 或 全 部 不 加 密 
有 关 实 现 

每 一 主机 对 需要 一 个 密 钥 


每 一 台 主 机 需要 加 密 硬 件 或 软件 


提供 节点 验证 


端 - 端 加 密 


发 送 主机 内 部 消息 被 加 密 
在 交换 节点 消息 被 加 密 


发 送 过 程 使 用 

用 户 应 用 加 密 

用 户 必 须 选择 算法 

用 户 选择 加 密 

软件 更 易 完 成 

对 每 一 条 消息 用 户 可 选择 加 密 或 者 否 


每 一 用 户 对 需要 一 个 密 钥 
在 每 一 个 节点 需要 加 密 硬 件 或 软件 
提供 用 户 验证 


10.4 用 于 存储 的 加 密 数 据 





用 于 存储 的 加 密 数 据 可 以 通过 Alice 和 Bob 模 式 来 检查 。Alice 仍 可 以 
回 Bob 发 送 消 息 ， 只 是 此 处 的 “Bob” 是 某 时 间 后 的 Alice。 然 而 ， 该 问题 
有 着 本 质 的 不 同 。 





在 通信 信道 里 ， 传 输 中 的 消息 并 没有 价值 。 如 果 Bob 不 接收 东 个 特 
定 消 息 ，Alice 将 一 直 发 送 下 去 。 这 对 于 用 于 存储 的 数据 加 密 来 说 是 不 正 
确 的 。 如 果 Alice 不 能 对 她 的 消息 进行 解密 ， 她 将 不 能 及 时 回 过 头 去 重新 
加 密 ， 她 已 经 永远 地 失去 了 这 些 数据 。 这 就 意味 看 用 于 数据 存储 的 加 密 
实现 应 该 有 茶 些 机 制 ， 以 防止 由 于 密 文 中 的 错误 引起 的 不 可 恢复 。 

















加 密 密 钥 与 加 蜜 消息 有 同样 的 价值 ， 只 是 它 小 一 点 儿 。 事 实 上 ， 加 
密 就 是 将 大 秘密 变 成 小 秘密 。 由 于 较 小 ， 所 以 它 更 容易 丢失 。 密 钥 管 理 
程序 应 当 假 定 同一 个 密 钥 可 以 被 一 过 又 一 亿 地 使 用 ， 并 且 数 据 可 以 在 磁 
盘 上 保存 数 年 ， 直 到 被 销毁 。 





此 外 ， 密 钥 应 该 保存 很 长 一 段 时 间 。 用 于 通信 的 密 钥 ， 理 想 情 况 下 
仅 存 在 通信 维持 时 间 。 而 用 于 数据 存储 的 密 钥 则 需要 数 年 ， 因 此 必须 安 
全 地 保存 数 年 。 





文献 [L357」 列 出 针对 计算 机 数据 加 密 存 储 的 其 他 一 些 问题 : 





数据 可 以 以 明文 形式 存在 ， 或 者 在 其 他 的 磁盘 、 计 算 机 ， 或 者 在 
纸 上 。 对 密码 分 析 者 来 说 ， 进 行 已 知 明文 攻击 有 很 大 的 机 会 。 





在 数据 库 应 用 中 ， 数 据 片 比 大 多 数 算法 的 数据 分 组 小 。 这 使 得 密 
文 比 明文 大 。 








.IO 设备 的 速度 要 求 快速 地 加 密 和 解密 ， 这 可 能 需要 硬件 加 密 。 在 
一 些 应 用 中 ， 可 能 需要 特殊 的 高 速算 法 。 


需要 安全 、 长 期 的 密 钥 存储 。 





` 密 钥 管 理 更 复杂 ， 因 为 不 同 的 人 需要 存 取 不 同 的 文件 或 同一 文件 


如 末 加 密 文 件 不 是 以 记录 和 字段 构造 (如 文本 文件 ) ， 恢 复 将 很 容 
D: 整个 文件 在 使 用 之 前 进行 解密 。 如 果 加 密 文 件 是 数据 库 文 件 ， 这 个 
解决 方案 会 有 很 多 问题 。 为 了 存 取 单 个 记录 而 解密 整个 数据 库 文件 是 无 
效率 的 ， 但 独立 地 加 密 各 个 记录 又 容易 受到 分 组 重 放 类 的 攻击 。 








另外 ， 你 必须 确认 加 密 后 未 加 密 的 文件 已 删除 〈 参 见 10.9 节 ) 。 进 
一 步 的 细节 和 研究 参见 文献 [425、569] 。 


10.4.1 ” 非 关 联 密 钥 





当 对 一 个 大 的 硬盘 驱动 器 进行 加 密 时 ， 有 两 种 方法 。 你 可 以 用 一 个 
单独 的 密 钥 对 所 有 的 数据 进行 加 密 。 但 这 给 分 析 者 提供 了 大 量 用 于 分 析 
的 密 文 ， 并 使 多 个 用 户 只 但 看 驱动 器 的 一 部 分 成 为 不 可 能 。 或 者 ， 你 可 
以 用 不 同 的 密 钥 对 各 个 文件 进行 加 密 ， 这 迫使 用 户 去 记 住 每 个 文件 的 密 
钥 。 








解决 办 法 是 使 用 独立 的 密 钥 对 每 一 个 文件 进行 加 密 ， 然 后 用 一 个 每 
个 用 户 都 知道 的 密 钥 加 密 这 些 密 钥 。 每 个 用 户 只 需要 记 住 一 个 密 铀 ， 不 
同 的 用 户 可 以 有 一 个 用 他 们 的 密 钥 加 密 的 文件 加 密 密 钥 子 集 。 使 用 主 密 
钥 对 每 一 个 文件 加 密 密 钥 加 密 。 这 会 更 加 安全 ， 因 为 文件 加 密 密 钥 是 随 
机 的 ， 并 对 字典 攻击 不 敏感 。 


10.4.2 ”驱动 器 级 与 文件 级 加 密 


有 两 种 方法 加 蜜 人 硬盘 驱 动 器 : 文件 级 和 驱动 器 级 。 文 件 级 加 密 是 指 
每 一 个 文件 被 单独 加 密 。 为 了 使 用 个 加密 的 文件 ， 你 必须 先 解 窗 ， 再 使 
用 ， 再 重新 加 密 。 


驱动 喜 级 加 密 用 在 用 户 的 一 个 逻辑 驱动 邦 上 ， 对 所 有 的 数据 加 密 。 
如 果 做 得 好 ， 可 以 提供 很 好 的 安全 性 ， 它 比 选 择 好 的 通信 字 更 安全 ， 不 
需要 为 用 尸 担心 。 然 而 ， 因 为 必须 要 处 理 一 些 诸如 驱动 器 的 安装 、 文 件 
新 恒 区 的 划分 、 文 件 老 山区 的 反复 应 用 、 效 辑 磁 盘 上 数据 的 随机 存 取 和 








更 新 请 求 等 ， 所 以 这 个 驱动 器 级 加 密 肯 定 比 单一 的 文件 加 密 程 序 复杂 得 
多 。 
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两 种 加 密 方 法 的 比较 见 表 10-5。 


表 10-5 ”文件 级 加 密 与 驱动 器 级 加 密 的 比较 





文件 级 加 密 驱动 器 加 密 
优点 
易 实现 和 使 用 临时 文件 、 工 作文 件 等 存储 在 安全 的 驱动 器 中 
具有 较 大 的 灵活 性 在 这 种 系统 里 很 难忘 记 重复 加 密 


相对 较 小 的 性 能 损失 
用 户 可 以 在 不 同 机 器 间 移 动 文件 





用 户 可 以 对 文件 做 备份 
安全 问题 
通过 无 安全 意识 程序 (如 为 了 暂 存 将 文件 写 人 磁盘 ) 用 设备 驱动 器 或 内 存 驻 留 程序 会 使 一 些 事情 出 错 
存在 潜在 泄露 量 差 的 程序 实现 允许 选择 明文 或 选择 密 文 攻击 
差 的 程序 实现 会 对 同一 个 口令 用 相同 的 密 钥 重复 加 密 如 果 整 个 系统 用 一 个 口令 加 密 ， 那么 丢失 它 意味 着 攻击 
者 得 到 了 一 切 
可 以 使 用 有 限 的 密码 算法 ， 如 不 能 使 用 OFB 序列 密码 
可 用 性 问题 
用 户 必须 弄 明 白 要 做 什么 存在 性 能 缺陷 
对 不 同 的 文件 可 能 有 不 同 的 口令 IR haz Ay 4G Windows, OS/2 DOS 仿真 、 设 备 驱动 器 
所 选 文件 的 手动 加 密 是 唯一 的 存 取 控制 等 相互 作用 


10.4.3 ”提供 加 密 驱 动 右 的 随机 存 取 


大 多 数 系统 都 期 望 能 够 随机 存 取 单 个 磁盘 司 区 ， 这 给 在 链接 模式 下 
使 用 序列 密码 和 分 组 密码 增加 了 不 少 难 度 。 下 面 提供 了 多 种 可 能 的 解决 


方法 。 





可 以 使 用 届 区 地 址 为 每 一 个 被 加 密 或 解密 的 属 区 产生 一 个 唯一 的 
IV。 该 方法 的 缺点 是 每 一 个 局 区 将 一 直 用 同一 个 IV 进 行 加 密 。 确 信 这 不 


是 一 个 安全 问题 。 





为 了 得 到 主 密 钥 ， 可 产生 一 个 与 条 个 局 区 同样 大 小 的 伪 随 机 分 组 
(例如 ， 运 行 OFB 模 式 的 某 个 算法 可 以 做 到 这 点 ) o MERK, I 
它 与 该 伪 随 机 分 组 异 或 ， 然 后 用 ECB 模 式 正常 地 加 密 。 该 方法 叫做 





ECB+OFB (参见 15.4 节 ) 。 


由 于 CBC 和 CFB 模 式 是 错误 恢复 模式 ， 所 以 可 以 用 山区 上 除了 第 一 
和 第 二 个 分 组 的 所 有 数据 为 该 扇 区 产生 一 个 IV。 例 如 ， 扇 区 3001 的 IV 可 
以 是 而 区 除了 前 128 位 的 所 有 数据 的 散 列 函数 。 产 生 该 IV 后 ， 可 以 正 第 
地 在 CBC 模 式 下 进行 加 密 。 为 了 对 该 扇 区 解密 ， 把 扇 区 的 第 二 个 64 位 分 
组 作为 一 个 IV， 然 后 对 扇 区 的 其 余部 分 进行 解密 ， 接 着 利用 解密 的 数 
据 ， 重 新 产生 一 个 IV， 再 对 第 一 个 128 位 解密 。 








可 以 使 用 有 很 大 分 组 的 分 组 密码 算法 ， 这 样 就 可 以 一 次 对 整个 肩 区 
进行 加 密 。Crab (参见 14.6 节 ) 是 一 个 例子 。 


10.5 ”硬件 加 密 与 软件 加 密 
10.5.1 硬件 


直到 最 近 ， 所 有 加 密 产 品 都 是 特定 的 硬件 形式 。 将 这 些 加 密 / 解 密 
盒子 舱 入 到 通信 线路 中 ， 然 后 对 所 有 通过 的 数据 进行 加 密 。 虽 然 软件 加 
密 在 今天 正 变 得 很 流行 ， 但 硬件 仍 是 商业 和 和 军事 应 用 的 主要 选择 。 例 
如 ，NSA 只 对 人 硬件 加 密 授权 使 用 。 为 什么 这 样 是 有 原因 的 。 














首先 是 速度 。 正 如 我 们 在 第 三 部 分 看 到 的 那样 ， 加 密 算 法 含有 很 多 
对 明文 位 的 复杂 运算 ， 没 有 哪 类 这 样 的 运算 能 在 一 般 的 计算 机 上 进行 。 
两 种 最 常见 的 加 密 算法 ，DES 和 RSA， 在 普通 用 途 的 微 处 理 器 上 运行 没 
有 效率 可 言 。 尺 管 有 些 密码 设计 者 不 断 尝试 使 算法 更 适合 软件 实现 ， 但 
特殊 的 硬件 将 一 直 占 据 速度 的 优势 。 








另外 ， 加 密 常 向 是 高 强度 的 计算 任务 。 计 算 机 微 处 理 串 对 此 效率 不 
高 ， 将 加 密 移 到 忌 片 上 ， 即 使 那个 必 片 仅 是 另 一 个 处 理 器 ， 也 会 使 整个 
系统 速度 加 快 。 








硬件 流行 的 第 二 个 原因 是 安全 性 。 对 运行 在 没有 物理 保护 的 一 般 计 
算 机 上 的 茶 个 加 密 算法 ，Mallory 可 以 用 各 种 跟 踊 工 具 秘 密 修 改 算法 而 
使 任何 人 都 不 知道 。 人 硬件 加 密 设 备 可 以 安全 地 封装 起 来 ， 以 避免 此 类 事 





情 发 生 ， 防 窜改 盒 能 防止 别人 修改 硬件 加 密 设 备 。 特 殊 目 的 的 VLSI 

片 可 以 履 凋 一 层 化 学 物质 ， 使 得 任何 企图 对 它们 内 部 进行 访问 都 将 导致 
芯片 逻辑 的 破坏 。 美 国政 府 的 Clipper 和 Capstone 芯 片 〈 参 见 24.16 节 和 

24.17 节 ) 都 设计 成 防 窜改 ， 芯 片 设 计 成 这 样 就 使 Mallory 不 可 能 读 到 未 
加 密 的 密 钥 。 








IBM 开 发 了 一 种 用 来 加 密 主机 数据 和 通信 的 加 密 系统 [515、1027] 
。 它 包括 用 防 窜改 模块 保存 密 钥 ， 这 个 系统 在 24.1 节 中 讨论 。 


电磁 辐射 有 时 会 暴露 电子 设备 内 正在 处 理 的 东西 。 可 以 将 加 密 盒 
屏蔽 起 来 ， 使 得 信息 不 泄露 。 一 般 的 计算 机 也 可 以 屏蔽 ,但 却 是 一 个 非 
常 复杂 的 问题 。 美 军 称 这 类 操作 为 TEM-PEST ， 这 个 课题 远 远 超出 了 本 


> He 


yu 


T 
zn 


O 








人 硬件 流行 的 最 后 一 个 原因 是 易于 安装 。 大 多 数 加 密 应 用 与 普通 计算 
机 无 关 。 多 数 人 和 希望 加 密 他 们 的 电话 会 话 、 传 真 或 数据 链 路 。 将 专用 加 
密 硬 件 放 在 电话 、 传 真 机 和 调制 解 调 器 中 比 放 在 微 处 理 吉 或 软件 中 便宜 
多 。 


N 
di 


即使 当 加 密 数据 来 自 计 算 机 时 ， 安 装 一 个 专用 加 密 设 备 也 比 修改 计 
算 机 系统 软件 更 容易 。 


加 密 应 该 是 不 可 见 的 ， 它 不 应 该 妨碍 用 户 。 对 于 软件 ， 要 做 到 这 扣 
的 唯一 办 法 是 将 加 密 程序 写 在 操作 系统 软件 的 深 处 ， 这 很 不 容易 。 男 一 





方面 ， 束 是 初学 者 也 能 将 加 密 盒 揪 在 计算 机 和 外 接 调制 解 调 器 之 间 。 





目前 ， 市 场 上 有 三 类 基本 的 加 密 人 硬件 : 目 市 加 密 模 块 〈 可 完成 一 些 
如 银行 口令 确认 和 密 钥 管理 等 功能 ) 、 用 于 通信 和 链 路 的 专用 加 密 盒 以 及 
可 插入 个 人 计算 机 的 插 卡 。 





某 些 加 密 盒 是 为 菜 些 有 具体 的 通信 和 链 路 设计 的 ， 如 T-1 加 密 盒 设计 成 
不 加 密 同 步 位 。 用 于 同步 或 异步 通信 和 链 路 的 加 密 盒 是 不 同 的 。 较 新 的 一 
些 加 密 盒 趋向 于 处 理 更 高 的 位 速 京 向 通用 性 。 


即使 如 此 ， 许 多 加 密 设备 也 有 一 些 不 相 容 问题 ， 购 买 者 应 该 小 心 注 
意 这 些 着 别 ， 并 了 解 它们 的 特殊 用 处 ， 避 免 目 己 购 买 的 加 密 设 备 不 能 满 
足 要 求 。 特 别 要 注意 人 硬件 类 型 、 操 作 系统 、 应 用 软件 、 网 络 等 方面 的 限 
| 。 





ar 


PC 板 加 密 占 通常 将 所 有 写 到 人 硬盘 上 的 东西 进行 加 密 ， 并 且 可 以 进 
行 配置 以 将 写 到 软盘 和 串口 的 东西 都 加 密 。 这 些 板 并 不 屏蔽 电磁 辐射 或 
物理 干扰 ， 因 为 如 果 计 算 机 不 受 影响 ， 那 么 保护 这 些 板 是 没有 意义 的 。 


越 来 越 多 的 公司 开始 将 加 密 硬 件 设 备 安装 到 他 们 的 通信 设备 上 。 保 
蜜 电话 、 传 真 机 和 调制 解 调 器 都 可 以 买 到 。 


里 然 有 多 少 种 设备 ， 束 有 多 少 种 不 同 的 解决 方案 ， 但 这 些 设备 的 内 
部 密 钥 管理 通 闻 是 安全 的 。 有 些 方案 在 一 种 场合 比 在 另 一 种 场合 更 合 


适 ， 购 买 者 应 该 懂得 哪 类 密 钥 管理 与 加 密 盒 相 结合 ， 哪 类 是 目 己 所 期 望 
的 。 


10.5.2 ”软件 


任何 加 密 算 法 都 可 以 用 软件 实现 。 软 件 实 现 的 不 利之 处 是 速度 、 开 
销 和 易于 改动 〈 或 操作 ) 。 有 利之 处 是 灵活 性 和 可 移植 性 、 易 使 用 、 易 
升级 。 本 书 末 尾 采 用 C 语 言 写 的 算法 ， 稍 做 修改 便 可 以 在 任何 计算 机 上 
实现 。 可 以 不 花 一 分 钱 将 它们 容易 地 复制 ， 并 安装 在 许多 机 器 上 。 它 们 
也 能 和 大 型 应 用 《如 通信 或 字 处 理 程序 ) 相 结合 。 














软件 加 密 程序 很 大 众 化 ， 并 可 以 用 于 大 多 数 操作 系统 。 这 些 可 用 于 
保护 个 人 文件 ， 用 户 通 常 必须 手动 加 密 和 解密 文件 。 密 钥 管 理 方案 的 安 
全 性 很 重要 ， 密 钥 不 应 当 存 储 在 磁盘 的 任何 一 处 (甚至 也 不 应 该 写 在 处 
理 器 与 磁盘 交换 数据 的 内 存 中 ) 。 密 钥 和 未 加 密 文件 在 加 密 后 应 删除 ， 
许多 程序 对 这 扣 痢 很 草率 ， 用 户 必 须 仔细 选 择 。 

















当然 ，Mallory 可 以 一 直 用 无 用 的 东西 蔡 换 软件 加 密 算法 。 但 对 大 
多 数 用 户 来 说 ， 这 不 是 什么 问题 。 如 果 Mallory 能 够 潜入 办 公 室 将 加 密 
程序 修改 ， 也 能 将 一 台 隐 形 摄像 机 置 于 墙 中 ， 搭 线 窃 听 电 话 线路 ， 或 者 
将 一 台 TEMPEST 检 测 仪 放 于 墙 下 。 如 果 Mallory 确 实 比 一 般 用 户 更 强 有 
力 ， 那 么 用 户 早 在 游戏 开始 之 前 就 输 掉 了 。 


10.6 压缩、 编码 及 加 密 


将 数据 压缩 算法 与 加 密 算 法 一 起 使 用 很 有 意义 : 





如果 密码 分 析 依靠 明文 中 的 元 余 ， 那 么 压缩 将 使 文件 在 加 密 之 前 
减少 元 余 。 


:加密 是 耗 时 的 ， 在 加 密 之 前 压缩 文件 可 以 提高 整个 处 理 过 程 的 速 
Eo 





需要 重点 记 住 的 是 压缩 要 在 加 密 之 前 进行 。 如 宋 加 密 算 法 真 的 很 
好 ， 那 么 密 文 是 不 可 压缩 的 ， 它 看 上 去 就 像 随机 数据 。《〈 这 个 可 作为 一 
种 检验 加 密 算 法 的 测试 方法 ， 如 果 密 文 是 可 以 压缩 的 ， 说 明 所 使 用 的 算 
法 不 是 很 好 。) 


如 果 你 想 加 进 某 种 传输 编码 或 错误 检测 和 恢复 ， 记 住 要 在 加 密 之 
后 。 如 果 在 通信 信道 有 噪声 存在 ， 解 密 的 错误 扩散 特性 会 使 得 噪声 更 严 
重 。 图 10-3 总 结 了 这 些 步 又 。 





数据 











压缩 加 密 差错 控制 差错 控制 解密 解压 





重复 请 求 


图 10-3” 带 有 压缩 和 错误 控制 的 加 密 


10.7 ”检测 加 密 


Eve 怎样 检测 一 个 加 密 的 文件 呢 ? Eve 从 事 间谍 行业 ， 所 以 这 是 一 个 
重要 的 问题 。 设 想 她 在 网 络 上 偷 听 癌 四 方 高 速 传播 的 信息 ， 她 必须 挑选 
对 她 有 意义 的 那些 。 加 密 文 件 确实 是 有 趣 的 ， 但 她 是 怎样 知道 它们 是 加 


密 的 呢 ? 





通常 ， 她 依赖 于 以 下 事实 : 大 多 数 流 行 的 加 密 程 序 都 有 定义 良好 的 
标题 。 由 于 这 个 原因 ， 用 PEM 和 PGP (参见 24.10 和 24.12 节 〉 加 密 的 电 
子 邮 件 消息 可 以 很 容易 地 被 辨别 出 来 。 


其 他 加 密 器 (包括 软件 ) 也 只 是 产生 貌似 随机 位 序列 的 密 文 文件 。 
她 是 怎样 从 其 他 貌似 随机 位 序列 中 将 其 区 分 出 来 的 昵 ?没有 确定 的 方 
法 ， 但 Eve 可 以 试 痢 做 大 量 的 事情 : 


:检查 文件 。ASCII 码 文本 很 容易 认 出 。 其 他 的 文件 格式 ， 如 TIFF、 
TeX、C、 信 末 附 言 、G3 传 真 和 微软 Excel 等 都 有 标准 的 辨别 特性 。 执 行 
代码 同样 也 是 可 以 检测 到 的 。UNIX 文 件 通常 有 “ 幻 数 > 可 供 检 测 。 








:用 常用 的 压缩 算法 试 着 对 文件 进行 解压 。 如 果 文 件 被 压缩 并 没 
AME) ， 她 就 可 以 恢复 出 原始 文件 。 


' 试 着 压缩 文件 。 如 果 文 件 是 密 文 〈 且 算法 恨 好) ， 那 么 文件 被 通 


用 压缩 程序 有 效 压 缩 的 可 能 性 会 很 小 〈“ 有 效 ? 是 指 超过 1%% 一 2% ) 。 如 
条 是 其 他 文件 〈 例 如 ， 二 进 制图 像 、 二 进 制 数据 文件 等 ) ， 都 可 能 被 压 
缩 。 


任何 不 能 被 压缩 且 没 被 压缩 过 的 文件 很 可 能 就 是 密 文 。《〈 当 然 ， 也 
可 以 特别 制造 可 被 压缩 的 密 文 。) 对 算法 进行 识别 更 加 困难 。 如 采 算 法 
征 好 的 ， 你 不 可 能 识别 ， 如 宋 算 法 有 茶 种 轻微 的 偶 和 过 ， 那 么 就 有 可 能 在 
文件 中 辨别 出 这 些 偏 莽 。 然 而 ， 偏 差 必 须 有 明显 的 意义 ， 或 文件 必须 中 
够 大 才能 很 好 地 进行 。 





10.8” 密 文中 隐藏 密 文 


在 过 去 几 年 里 ，Alice 和 Bob 一 直 是 互相 用 密 文 发 送 消 息 。Eve 将 所 
有 的 这 些 消 妃 全 部 收集 起 来 ， 但 对 它们 无 可 和 奈何。 最后， 秘密 警察 为 这 
些 不 可 读 的 密 文 烦 透 了 ， 于 是 就 把 他 俩 抓 了 起 来 , “把 密 钥 交 出 来 ! ”他 
们 命令 道 。Alice 和 Bob 拒 绝 了 ， 但 随后 他 们 就 找到 了 对 付 的 办 法 。 他 们 
怎样 去 做 呢 ? 





加 密 一 个 文件 而 有 两 种 解密 方法 ， 每 一 种 用 各 目 不 同 的 密 钥 ， 这 不 

是 很 好 。Alice 可 以 用 他 们 的 共享 密 钥 加 密 发 给 Bob 的 真正 消息 ， 再 用 其 
他 密 钥 加 密 一 些 无 关 紧 要 的 消息 。 如 果 Alice 被 捕 ， 她 可 以 供出 加 密 无 关 
紧要 消息 的 密 钥 ， 而 对 真正 的 密 钥 守 口 如 瓶 。 








做 到 这 点 最 简单 的 方法 是 使 用 一 次 一 密 乱 码 本 。 假 设 P 是 明文 ，D 
是 虚假 明文 ，C 是 密 文 ，K 是 真正 的 密 铀 ，K' 是 虚假 密 钥 。Alice 加 密 P: 


POK = 
Alice 和 Bob 共 享 密 钥 K， 所 以 Bob 可 以 解密 C: 
COK =P 


OUR Ah eS HIE ATT A, ES Na a eK, Tze: 


K' =C@D 





秘密 警察 就 用 它 恢复 出 了 明文 一 一 虚假 明文 : 


CO@OK'=D 


因为 使 用 的 是 一 次 一 密 乱码 本 ， 且 K 是 完全 随机 的 ， 所 以 没有 任何 
方法 证 实 K' 不 是 真正 密 钥 。 为 了 更 具 信服 力 ，Alice 和 Bob 可 以 编造 一 些 
轻 度 不 犯法 的 虚假 消息 代替 根本 没有 犯法 的 真正 消息 。 一 对 以 色 列 间谍 
曾经 这 样 做 过 。 


Alice 可 以 用 她 喜爱 的 算法 和 密 钥 K 加 密 P 得 到 C。 然 后 将 C 与 一 些 世 
俗 的 明文 《如 《傲慢 与 偏见 》) 异 或 来 得 到 K'。 她 将 C 和 这 些 异 或 运算 
存储 在 她 的 硬盘 上 。 现 在 ， 当 安全 局 审讯 她 时 ， 她 可 以 解释 她 是 一 个 业 
余 的 密码 爱好 者 ，K' 只 不 过 是 C 的 一 次 一 密 乱 码 本 。 安 全 局 可 能 怀疑 某 
些 东 西 ， 但 除非 他 们 已 知 密 钥 K; 否则 他 们 无 法 证 实 Alice 的 解释 不 合 
H; 





另 一 个 方法 是 用 对 称 算法 的 密 钥 K 对 P 加 密 ， 用 密 钥 K' 对 D 进 行 加 
密 。 打 乱 密 文 的 位 (或 字 节 ) 产生 最 后 的 密 文 。 如 果 安 全 局 需要 密 钥 ， 
Alice 就 将 K' 交 出 并 说 出 打 乱 的 位 《或 字 节 ) 是 为 挫败 密码 分 析 而 设计 的 
随机 噪声 。 麻 烦 就 出 在 她 的 解释 太 令 人 相信 了 ， 以 至 于 安全 局 很 可 能 不 
信 她 仔细 考虑 本 书 的 建议 )。 

















对 Alice 来 说 ， 一 个 更 好 的 方法 是 产生 一 个 虚假 消息 D， 将 明文 P 和 D 
级 联 ， 然 后 压缩 后 使 大 小 与 DD 一 样 。 令 级 联 为 P'。Alice 接 着 用 她 跟 Bob 
共享 的 算法 加 密 P'， 得 到 C， 并 将 它 传 给 Bob，Bob 解 密 得 到 P'、P 和 D。 
然后 两 人 同时 计算 C@D=K'。 当 安全 局 吨 开 他 们 的 门 时 ，K' 就 变 成 了 虚 
假 一 次 一 密 乱 码 本 。Alice 必 须 把 D 传 送出 去 ， 这 样 两 人 就 伪造 了 现场 。 


对 Alice 来 说 ， 其 他 方法 是 利用 无 关 又 要 的 消 轧 ， 并 通过 某 些 纠 错 山 
码 运行 它 。 然 后 引入 一 些 与 秘密 的 加 密 消 轧 有 关 的 错误 。 在 接收 端 ， 
Bob 提 取 错 误 ， 恢 复 秘密 消息 并 解密 。Alice 和 Bob 或 许 被 强迫 去 解释 为 
什么 在 无 噪声 的 计算 机 网 络 上 会 一 直 有 30% 的 错 码 率 ， 但 在 其 他 环境 中 
该 方案 可 以 实施 。 


最 后 ，Alice 和 Bob 可 以 在 他 们 的 数字 签名 算法 中 使 用 国 下 信道 〈 参 
见 4.2 和 23.3 节 ) 。 访 方法 是 检测 不 到 的 ， 可 以 很 好 地 使 用 ， 但 它 有 一 个 
缺点 是 每 个 签名 无 关 紧 要 的 消息 只 允许 20 左 右 的 阀 下 文本 字符 。 它 并 不 
适合 传送 密 钥 。 





10.9 ”销毁 信息 


在 大 多 数 计算 机 上 删除 一 个 文件 时 ， 该 文件 并 没有 真 的 被 删除 。 删 
除 的 唯一 的 东西 就 古 磁盘 索引 文件 中 的 入 口 ， 磁 盘 索 引文 件 用 来 告诉 机 
强人 磁盘 上 的 数据 在 哪里 。 许 多 软件 供应 商 不 失 时 机 地 出 售 文件 恢复 软 
件 ， 它 们 可 以 在 文件 被 删除 后 将 其 恢复 。 





还 有 其 他 方面 的 担忧 : 虚拟 内 存 意味 着 计算 机 可 以 随时 将 内 存 读 、 
写 到 磁盘 。 即 使 你 没有 保存 它 ， 也 永远 不 知道 你 正在 运行 的 一 个 敏感 文 
件 是 什么 时 候 写 到 磁盘 上 的 。 这 就 是 说 ， 即 使 你 从 来 未 保存 过 明文 ， 计 
算 机 也 可 能 蔡 你 做 。 即 使 像 Stacker 和 DoubleSpace 这 样 的 驱动 器 级 的 压 
缩 程序 也 很 难 预测 数据 是 怎样 和 什么 时 候 存 储 到 磁盘 上 的 。 





为 了 删除 茶 个 文件 ， 以 使 文件 恢复 软件 读 它 ， 必 须 对 磁盘 上 文件 的 
所 有 位 进行 物理 写 覆 盖 。 根 据 国 家 计算 机 安全 中 的 规定 ME! : 





写 履 盖 就 是 将 不 涉及 安全 的 数据 写 到 以 前 兽 存 放 人 敏感 数据 的 存储 位 
置 .…... 为 了 彻底 清除 ..……... 存 储 介质 ，DoD 要 求 先 用 一 种 格式 进行 写 覆 
其 ， 然 后 用 该 格式 的 补 码 ， 最 后 用 另 一 种 格式 。 例 如 ， 先 用 00110101， 
接着 用 11001010， 再 接着 用 10010111。 写 履 盖 的 次 数 根据 存储 介质 而 
定 ， 有 时 依赖 信息 的 敏感 程度 ， 有 时 依赖 不 同 的 DoD 部 分 要 求 。 无 论 怎 
样 ， 在 最 后 没有 用 不 涉及 安全 的 数据 写 履 盖 之 前 ， 彻 底 清除 就 没有 完 








你 可 能 必须 删除 茶 个 文件 或 清除 整个 驱动 器 ， 你 也 应 当 清 除 磁盘 上 
所 有 没有 用 的 空间 。 


大 多 数 商用 程序 声称 实现 了 DoD 标 准 乾 焉 3 次 : 首先 用 全 1; 接着 用 
全 0; 最 后 用 1-0 格 式 重复 进行 。 按 照 我 的 一 般 的 偏执 狂 级 别 ， 我 建议 办 
兰 一 个 被 删除 的 文件 需要 7 次 : 首先 全 1; 其 次 全 0; 其 余 5 次 用 密码 学 安 
全 的 伪 随 机 序列 。 最 近 ， 国 家 标准 和 技术 研究 所 对 电子 隧道 显微镜 的 研 
完 表明 ， 即 使 这 样 也 是 不 够 的 。 说 实话 ， 如 果 你 的 数据 的 确 有 足够 大 的 
价值 ， 还 是 相信 从 磁性 介质 上 完全 清除 数据 是 不 可 能 的 吧 ! 将 介质 烧 挥 
或 切 碎 ， 买 张 新 磁 盘 比 丢失 秘密 便宜 得 多 。 





第 11 章 ”数学 背景 
11.1 信息 论 

Claude Elmwood Shannon 于 1948 年 首先 确立 了 现代 信息 论 HBL 
1432] (IEEE 出 版 社 最近 再 版 了 他 的 论文 )。 更 好 的 数学 论述 见 文献 


[593] 。 本 节 将 简单 地 介绍 这 方面 的 一 些 重要 思想 。 


11.1.1 AANA RE PE 








信息 论 定义 一 条 消息 的 信息 量 Camount of information) 如 下 : 假 
设 所 有 消息 是 等 可 能 的 ， 对 消息 中 所 有 可 能 的 值 进行 编码 所 需要 的 最 少 
位 数 。 例 如 ， 数 据 库 中 有 关 “ 一 周 中 的 每 一 天 ”这 一 字段 包含 不 超过 3 位 
的 信息 ， 因 为 此 消息 可 以 用 3 位 进行 编码 : 





000 王 星期 日 
001 三 星期 一 
010 王 星期 二 
011 王 星期 三 
100 王 星期 四 
101 二 星期 五 
110 二 星期 六 
111 是 未 用 的 


如 果 这 些 信 息 用 对 应 的 ASCII 码 字符 串 来 表示 ， 它 将 占用 更 多 的 存 
储 空间 ， 但 不 会 包含 更 多 的 信息 。 同 样 ， 数 据 库 中 “性 别 ” 这 项 仅 含有 1 
位 信息 ， 即 使 它 或 许可 以 用 两 个 6 字 节 的 ASCII 码 字符 串 MAN 或 
FEMALE 中 的 一 种 存储 。 


形式 化 地 ， 一 条 消息 M 的 信息 量 可 通过 它 的 精 Centropy) KEE, 
RIRIH M) 。 一 条 表示 性 别 消 奶 的 燃 是 1 位 ， 一 条 表示 一 周 天 数 消 旦 
的 燃 棚 微小 于 3 位 。 通 常 ， 一 条 消 居 的 燃 是 log n， 其 中 n 是 消 妃 所 有 可 
能 的 值 。 此 处 假设 每 一 个 值 是 等 可 能 的 。 

















一 条 消息 的 炉 也 表示 了 它 的 不 确定 性 Cuncertainty) ， 即 当 消 息 被 
加 密 成 密 文 时 ， 为 了 获取 明文 ， 需 要 解密 的 明文 的 位 数 。 例 如 ， 如 果 密 
文 “QHP*5M” 要 么 是 “ 男 "， 要 么 吓 “ 女 "， 那 么 此 消 居 的 不 确定 性 是 1。 密 
码 分 析 者 为 了 恢复 此 消息 ， 仅 需 选 择 1 位 。 








对 一 种 给 定 的 语言 ， 其 语言 信 生 


co 


& (rate of language) 是 


r=H (M) /N 





其 中 ，N 是 消息 的 长 度 。 在 N 相 当 大 时 ， 标 准 英语 的 语言 信息 率 Cr 
值 ) 在 1.0 位 /字母 与 1.5 位 /字母 之 间 。Shanon 指 出 信息 率 与 文本 的 长 度 有 
K B4 ，8 个 字母 的 字符 串 的 语言 信息 率 为 2.3 位 /字母 ， 而 16 个 字母 
的 字符 串 的 语言 信息 率 则 降 到 了 1.3 位 /字母 与 1.5 位 /字母 之 间 。Thomas 
Cover 采 用 随机 估算 技术 得 到 的 信息 率 为 1.3 位 /字符 [386」 。 (本 书 将 采 
用 1.3 位 /字符 ) 。 语 言 绝对 信息 率 (absolute rate) 的 定义 为 : 假定 每 一 
个 字符 串 是 等 可 能 的 ， 对 每 一 个 字母 而 言 可 被 编码 的 最 大 位 数 。 如 果 在 
一 种 语言 中 有 EL 个 字母 ， 其 绝对 信息 率 是 























R=log, L 
XE HP BE SH o 


EEO nee eee ne 英语 的 实际 
言 息 率 大 大 低 于 其 绝对 信息 率 ， 这 一 点 任何 人 都 不 会 感到 惊奇 。 自 然 语 
HHA fai JUAR E 











一 种 语言 的 元 余 度 (redundancy) 称 为 D， 定 义 为 : 


D=R-r 


he 


已 知 英 语 的 信息 率 是 1.3， 其 元 余 度 是 3.4 位 /字母 。 这 意味 着 每 个 英 


语 字母 携带 3.4 位 的 元 余 信息 。 














一 条 ASCII 码 消息 ， 其 每 字 节 消息 含有 与 英语 相等 的 1.3 位 的 信息 。 
这 意味 着 它 的 见 余 信息 为 6.7 位 ， 相 当 于 每 位 ASCII 码 文本 有 0.84 位 信息 
的 宛 余 度 。 同 样 的 消息 在 博多 机 BAUDOT) 中 ， 每 个 字符 表示 成 5 
位 ， 则 博多 机 文本 的 每 一 位 有 0.74 位 的 元 余 度 和 0.26 位 的 烂 。 空 格 、 标 
点 、 数 字 和 格式 码 将 会 改变 这 些 结果 。 











11.1.3 密码 系统 的 安全 性 


Shannon 给 安全 的 密码 系统 定义 了 一 个 精确 的 数学 模型 。 密 码 分 析 
者 的 目的 是 获取 密 钥 K 或 明文 P， 或 两 者 都 要 。 然 而 ， 他 们 也 乐于 得 到 
一 些 有 关 了 的 统计 信息 : 它 是 人 否 是 数字 化 的 语音 信号 、 德 文 或 电子 报表 
数据 等 。 














在 几乎 所 有 实际 的 密码 分 析 中 ， 分 析 者 在 开始 着 手 前 ， 总 有 一 些 有 
关 P 的 统计 信息 。 他 们 可 能 知道 明文 的 语言 。 这 种 语言 有 一 个 确定 的 与 
之 相伴 的 元 余 度 。 如 果 它 是 给 Bob 的 消息 ， 它 在 开头 可 能 用 Dear Bob. 
当然 Dear Bob 比 e8T&g [，m 更 有 可 能 。 和 密码 分 析 的 目的 是 通过 分 析 改 
变 关于 每 个 可 能 明文 的 可 能 性 。 最 后 ， 一 个 明文 当然 (至 少 非常 可 能 ) 
会 从 所 有 可 能 的 明文 集合 中 芭 露 出 来 。 








有 一 种 方法 可 获得 完全 保密 (perfect secrecy) 的 密码 系统 。 在 这 
样 的 系统 中 ， 蜜 文 不 会 给 出 有 头 明文 的 任何 信息 《除了 它 的 长 度 可 能 给 
出 外 ) 。Shannon 从 理论 上 证 明 ， 仅 当 可 能 的 密 钥 数目 全 少 与 可 能 的 消 
因数 目 一 样 多 时 ， 它 (完全 保密 ) 才 是 有 可 能 的 。 换 名 话说， 密 钥 必须 
至 少 与 消 妃 本 身 一 样 长 ， 并 且 不 重复 使 用 。 简 而 言 之 ， 仅 有 一 次 一 密 乱 
码 本 参见 1.5 市 ) 的 密码 系统 才能 获得 完全 保密 。 





从 完全 保密 的 角度 而 言 ， 密 文 给 出 一 些 有 关 其 对 应 明文 的 信息 是 不 
可 避免 的 。 一 个 好 的 密码 算法 可 使 这 样 的 信息 最 少 ， 一 个 好 的 密码 分 析 
者 利用 这 类 信息 可 以 确定 明文 。 


密码 分 析 者 利用 上 自然 语言 的 元 余 度 来 减少 可 能 的 明文 数目 。 语 言 的 
见 余 度 越 大 ， 它 就 越 容易 被 攻击 。 许 多 正在 使 用 的 密码 装置 在 加 密 明 文 
前 ， 都 要 用 一 个 压缩 程序 减少 明文 大 小 ， 其 原因 就 在 于 此 。 加 密 、 解 密 
时 均 须 压缩 处 理 来 降低 消息 的 见 余 度 。 





密码 系统 的 烂 可 由 密 钥 空间 大 小 K 来 衡量 : 
H (K>) =log, K 


FH AG 4 7 AIE ARI E64 FE, SOL aH AI AAR E 
56. MOR UL, FAS ARSE A, BEE A HE 


11.1.4 ”唯一 解 距离 


对 一 个 长 度 为 p 的 消 轧 而 言 ， 将 一 个 密 文 消 恕 解密 为 同一 语言 中 茶 
个 有 意义 的 明文 ， 不 同 密 钥 的 数目 由 下 式 给 出 “712 990 : 


2H (k) -nD -1 


Shannon “1432」 定义 唯一 解 距离 Cunidty distance) U (也 称 为 唯一 
解 点 ) 为 : BEART DAAC INSEE a ORS) 与 加 密 密 钥 的 烂 之 和 等 于 所 
用 的 密 文 位 数 的 渐 近 密 文 量 。 他 接着 指出 ， 比 这 个 距离 长 的 密 文 可 合理 
地 确定 唯一 的 有 意义 的 解密 文本 ; 比 这 个 距离 短 的 密 文 则 可 能 会 有 多 个 
同样 有 效 的 解密 文本 ， 因 而 令 敌 手 从 其 中 选 出 正确 的 一 个 是 困难 的 ， 从 
而 获得 了 安全 性 。 





对 大 多 数 对 称 密码 系统 而 言 ， 唯 一 解 距离 定义 为 密码 系统 的 烂 除 以 
语言 的 见 余 度 。 


U=H (K) /D 


唯一 解 距离 与 所 有 统计 的 或 信息 论 的 指标 一 样 ， 只 能 给 出 可 能 的 结 
果 ， 并 不 能 给 出 肯定 预测 。 唯 一 解 距离 指出 了 当 进 行 穷 举 攻击 时 ， 可 能 
解密 出 唯一 有 意义 的 明文 所 需要 的 最 少 密 文 量 。 一 般 而 言 ， 唯 一 解 距离 
越 长 ， 密 码 系统 越 好 。 对 有 56 位 密 钥 和 用 ASCII 码 字符 表示 的 英文 消息 
来 说 ，DES 的 唯一 解 距离 大 约 是 8.2 个 ASCII 码 字符 ， 或 66 位 。 表 11-1 给 
出 了 密 钥 长 度 变 化 对 应 的 唯一 解 距离 。 一 些 经 典 的 密码 系统 的 唯一 解 距 
离 见 文献 [445] 。 


BAKE MD 唯一 解 距离 字符 ) 
40 59 


密 钥 长 度 (位 ) 唯一 解 距 离 〈 字 符 ) 


80 11.8 





128 18. 8 





256 37.6 


表 11-1 可 变 密 钥 长 度 的 ASCII 码 文本 加 密 算法 的 唯一 解 距离 


唯一 解 距离 不 是 对 密码 分 析 需 要 多 少 密 文 的 度量 ， 而 是 对 存在 唯一 
合理 的 密码 分 析 所 需要 的 密 文 数量 的 指标 。 对 密码 系统 进行 破译 在 计算 
上 有 可 能 是 不 可 行 的 ， 即 使 它 在 理论 上 以 相对 少量 的 密 文 是 可 能 的 〈 非 
常 深奥 的 相对 密码 学 理论 见 文献 [230、231、232、233、234、 
235] ) 。 唯 一 解 距 离 与 元 余 度 成 反比 。 当 元 余 度 接近 于 零 时 ， 即 使 一 
个 普通 的 密码 系统 也 可 能 是 不 可 破 的 。 











Shannon 把 唯一 解 距离 为 无 穷 大 的 密码 系统 定义 为 具有 理想 保 窜 
(ideal secrecy) 的 。 注 意 ， 虽 然 一 个 完全 保密 的 密码 系统 必须 是 一 个 理 
想 保 密 的 密码 系统 ， 但 一 个 理想 保密 的 密码 系统 不 一 定 是 一 个 完全 保密 
的 密码 系统 。 如 采 一 个 密码 系统 具有 理想 保密 性 ， 即 使 成 功 的 密码 分 析 
者 也 不 能 确定 解 的 明文 是 否 是 真正 的 明文 。 


11.1.5 ”信息 论 的 运用 
虽然 以 上 这 些 结论 具有 很 大 的 理论 价值 ， 但 实际 上 密码 分 析 者 很 少 


治 这 个 方 网 工作 。 唯 一 解 距离 可 以 保证 当 其 太 小 时 ， 密 码 系统 是 不 安全 
的 ， 但 并 不 保证 当 其 较 大 时 ， 密 码 系统 就 是 安全 的 。 很 少 有 实际 的 算法 





在 密码 分 析 上 是 绝对 不 可 破 的 。 各 种 特点 起 着 破译 加 和 密 信 息 的 突破 作 
用 。 然 而 ， 类 似 于 上 述 信 息 论 方面 的 考虑 有 时 也 很 有 有 用。 例如， 为 一 个 
确定 的 算法 建议 一 个 密 钥 变化 间隔 《〈 周 期 ) 。 密 码 分 析 者 也 曾 利 用 各 种 
统计 和 信息 论 的 检测 方法 ， 以 便 在 许多 可 能 的 方向 中 帮助 引导 分 析 。 不 
牌 的 是 ， 大 多 数 有 关 信 和 号 论 在 密码 分 析 上 的 应 用 文献 仍然 是 保密 的 ， 包 
括 Alan Turing 1940 年 的 最 初 成 果 。 








11.1.6 ”混乱 和 扩散 





Shannon 提 出 了 两 种 隐蔽 明文 消息 中 元 余 度 的 基本 技术 : 混乱 和 扩 


散 [1432 ] ; 





混乱 Cconfusion) 用 于 掩盖 明文 和 密 文 之 间 的 关系 。 这 可 以 挫败 通 

研究 密 文 以 获取 元 余 度 和 统计 模式 的 企图 。 做 到 这 点 最 容易 的 方法 是 
通过 代 蔡 。 简 单 的 代 丛 密码， 如 山 撤 移 位 密码 ， 其 中 每 一 个 确定 的 明文 
字符 被 一 个 密 文 字符 所 代 答 。 现 代 的 代 答 密码 更 复杂 一 个 长 的 明文 分 
组 被 代 蔡 成 一 个 不 同 的 密 文 分 组 ， 并 且 代 蔡 的 机 制 随 明文 或 密 钥 中 的 每 
一 位 发 生变 化 。 这 种 代 答 也 不 一 定 就 够 了 ， 德 国 的 恩 尼 格 马 是 一 个 复杂 
的 代 蔡 算法 ， 但 在 第 二 次 世界 大 战 期 间 束 被 破译 了 。 














扩散 (diffusion〉 通 过 将 明文 见 余 度 分 散 到 密 文 中 使 之 分 散 开 来 。 
密码 分 析 者 寻求 这 些 见 余 度 将 会 更 难 。 产 生 扩 散 最 简单 的 方法 是 通过 换 


位 《也 称 为 置换 ) 。 简 单 的 换 位 密码 ， 如 列 换 位 体制 ， 只 简单 地 重新 排 
列 明 文字 符 。 现 代 蜜 码 也 有 这 种 类 型 的 置换 ， 但 它们 也 利用 其 他 能 将 部 
分 消息 散布 到 整个 消息 的 扩散 类 型 。 


里 然 序列 密码 的 一 些 反 馈 设计 加 进 了 扩散 ， 但 它 只 依赖 于 混乱 。 分 
组 密码 算法 既 用 到 混乱 ， 叉 用 到 扩散 。 通 第 ， 单 独 用 扩散 容易 被 攻破 
《尽管 二 重 换 位 密码 优 于 其 他 的 许多 手工 系统 ) 。 


11.2 复杂 性 理论 


复杂 性 理论 提供 了 一 种 分 析 不 同 密码 技术 和 算法 的 计算 复杂 性 
(computational complexity) 的 方法 。 它 对 密码 算法 和 技术 进行 比较 ， 
然后 确定 它们 的 安全 性 。 信 息 论 告诉 我 们 ， 所 有 的 密码 算法 (除了 一 次 
一 密 乱 码 本 ) 都 能 被 破译 。 复 杂 性 理论 告诉 我 们 在 宇宙 爆炸 前 它们 能 否 
被 破译 。 





11.2.1 算法 的 复杂 性 





算法 的 复杂 性 即 运 行 它 所 需要 的 计算 能 力 。 算 法 的 计算 复杂 性 常常 
用 两 个 变量 来 度量 : T〈 时 间 复 杂 性 (time complexity) ) 和 S FHE 
AsV (space complexity) ， 或 所 需 的 存储 空间 ) 。T 和 S$ 通常 表示 为 n 的 
函数 ，n 是 输入 的 大 小 (算法 的 计算 复杂 性 还 有 其 他 许多 度量 尺度 随 
机 位 的 数目 、 通 信 带 宽 、 数 据 总 量 等 ) 








通常 ， 算 法 的 计算 复杂 性 用 称 为 “大 0? 的 符号 来 表示 : 计算 复杂 性 
的 数量 级 。 当 n 增 大 时 ， 计 算 复杂 性 的 数量 级 函数 增长 得 最 快 。 所 有 较 
低 阶 形式 的 函数 均 忽 略 不 计 。 例 如 ， 一 个 给 定 算法 的 时 间 复 杂 性 是 
+7n+12， 那 么 其 计算 复杂 性 是 n? NA KRO Cn?) 。 


用 以 上 方法 度量 时 间 复 杂 性 不 依赖 于 系统 。 这 样 ， 就 不 必 知 道 各 种 





指令 的 精确 时 间 ， 或 用 于 表示 不 同 变量 的 位 数 ， 甚 全 连 处 理 器 的 速度 也 
不 必 知 道 。 一 台 计 算 机 或 许 比 男 一 台 快 50%， 而 第 三 台 或 许 有 两 倍 的 数 
据 宽度 ， 但 对 一 个 算法 的 复杂 性 数量 级 而 言 是 一 样 的 。 这 不 是 欺诈， 在 
如 此 复杂 的 算法 中 ， 与 时 间 复 森 性 的 量 级 相 比 ， 其 他 信息 (常数 项 ) AF 
常 可 忽略 不 计 。 

















个 符号 令 你 看 到 的 是 时 间 和 空间 的 需求 怎样 被 输入 的 大 小 所 影 
啊 。 例 如 ， 如 果 T=O (Cn) ， 那 么 输入 大 小 加 倍 ， 算 法 的 运行 时 间 也 加 
fit; 如 果 T=O (22) ， 那 么 输入 大 小 增加 1 位 ， 算 法 运行 时 间 增 加 一 


通常 ， 算 法 按 其 时 间 和 空间 复杂 性 进行 分 类 。 如 采 一 个 算法 的 复杂 
性 不 依赖 于 n， 即 为 O (1〉， 那 么 它 是 常数 的 Cconstant) 。 如 果 它 的 
时 间 复 杂 性 是 O(n〉 ， 那 么 它 是 线性 的 Cinear) 。 有 些 算法 还 可 分 为 
二 次 方 的 (quadratic) 、 三 次 方 的 (cubic) 等 。 所 有 这 些 算法 都 是 多 
项 式 的 (polynomial) ， 复 杂 性 可 表示 为 O0 nm ) ， 其 中 中 是 一 个 御 
数 。 具 有 多 项 式 时 间 复 杂 性 的 算法 族 称 为 多 项 式 时 间 Cpolynomial- 
time) 算法 。 


若 算法 的 复杂 性 为 O (tn) ) ， 则 该 算法 称 为 指数 的 
Cexponential) ， 这 里 t 是 一 个 大 于 1 的 种 数 ，f GD 是 n 的 多 项 式 函 数 。 
复杂 性 为 O(cf ™ ) 的 指数 算法 的 子 集 ， 称 为 超 多 项 式 
(superpdynomial) 算法 ， 其 中 c 是 一 个 常数 ，f Cn) 是 大 于 常数 而 小 于 


线性 的 函数 。 





理论 上 上， 密码 设 计 者 部 期 望 对 其 密码 的 任何 攻击 算法 具有 指数 级 的 
时 间 复 杂 性 。 事 实 上 ， 根 据 目 前 计算 复杂 性 理论 的 状况 而 言 , “所 有 已 
知 的 攻击 算法 均 具 有 超 多 项 式 时 间 复 杂 性 ”。 这 就 是 说 ， 对 这 些 应 用 在 
实际 中 的 密码 ， 我 们 所 知 的 攻击 算法 是 超 多 项 式 时 间 复 杂 性 的 ， 但 是 还 
不 能 证 明永 远 不 会 发 现 非 多 项 式 时 间 攻 击 算 法 。 或 许 茶 一 天 ， 计 算 复杂 
性 (理论 ) 的 发 展 使 得 有 可 能 设计 这 样 的 密码 : 能 以 数学 的 确定 性 排除 
多 项 式 时 间 攻 击 算法 的 存在 。 














当 n 增 大 时 ， 算 法 的 时 间 复 洒 性 能 够 显示 算法 是 否 实际 可 行 方面 的 
巨大 差别 。 表 11-2 给 出 了 当 n 等 于 108 时 ， 不 同 算法 族 的 运行 时 间 。 表 中 
忽略 了 和 常数， 并 给 出 了 忽略 常数 的 原因 。 





表 11-2 不 同 算法 族 的 运行 时 间 (n=10° ) 





族 复杂 性 操作 次 数 时 间 
常数 的 Od) l 1 微 秒 
线性 的 O™) 10° 1 秒 
-次 方 的 On?) 10}? 11.6 天 
三 次 方 的 Oln?) 1018 32 000 天 
指数 的 O(2") 1GS 宇宙 年 龄 的 10°01 08A 


假定 计算 机 的 时 间 单 位 是 微 秒 ， 那 么 这 人 台 计 算 机 能 够 在 1 微 秒 内 完 
成 一 个 沼 数 阶 的 算法 ， 在 1 秒 内 完成 一 个 线性 阶 的 算法 ， 在 11.6 天 内 完 
成 一 个 二 次 方 阶 的 算法 ， 而 完成 一 个 三 次 方 阶 的 算法 要 花 32000 年 。 这 
并 非 驴 人 的 事实 ， 但 如 果 宇 宙 在 那 之 前 还 存在 的 话 ， 从 计算 机 上 最 终 得 


到 一 个 解决 方案 将 是 可 能 的 。 而 解决 指数 阶 的 算法 是 枉 费 心机 的 ， 不 管 
你 认为 〈 那 时 的 ) 计算 能 力 、 并 行 处 理 能 力 或 与 超 智 能 的 外 星人 的 联系 
是 多 么 强 。 


现在 来 看 看 对 密码 系统 的 穷 举 攻击 问题 ， 这 种 攻击 的 时 间 复 杂 性 与 
可 能 的 密 钥 总 数 成 比例 ， 它 是 密 钥 长 度 的 指数 函数 。 如 果 n 是 密 钥 长 
度 ， 那 么 穷 举 攻击 的 复杂 性 是 O (29) 。12.3 节 讨论 了 用 112 位 密 钥 替代 
DES 的 56 位 密 钥 的 争论 。 穷 举 攻击 对 56 位 密 钥 的 复杂 性 是 239 ;而 对 112 
位 密 钥 ， 其 复杂 性 是 2+1? 。 前 面 一 个 可 能 被 破译 ， 而 后 一 个 是 绝对 不 可 
能 被 破译 的 。 





11.2.2 ”问题 的 复杂 性 


复杂 性 理论 同时 也 对 问题 的 内 在 复杂 性 进行 分 类 ， 这 并 不 同 于 用 于 
解决 问题 的 算法 复杂 性 (对 此 专业 性 的 介绍 见 文 献 [600、211、 
1226] ， 也 可 见于 文献 [1096、27、739] ) 。 这 个 理论 可 看 到 称 为 图 
灵机 (Turing machine) 的 理论 计算 机 上 解决 最 难 的 问题 实例 所 需要 的 
最 小 时 间 和 空间 。 图 灵机 是 一 种 有 无 限 读 - 写 存储 带 的 有 限 状 态 机 。 看 
来 图 灵机 是 一 个 实际 的 计算 模型 。 





能 够 用 多 项 式 时 间 算 法 解决 的 问题 称 为 易 处 理 的 Ctractable) ， 
为 它们 能 够 用 适当 的 输入 大 小 ， 在 适当 的 时 间 开 销 内 解决 (“适当 的 ”的 


精确 定义 取决 于 实际 情况 ) 。 不 能 在 多 项 式 时 间 内 解决 的 问题 称 为 难处 
理 的 (intractable〉， 因 为 计算 它们 的 解法 很 快 变 得 不 行 。 难 处 理 的 问 
题 有 时 也 称 为 难 解 的 (hard) 。 能 够 用 超 多 项 式 阶 算法 求解 的 问题 在 计 
算 上 是 很 难 的 ， 甚 至 n 的 值 很 小 时 也 一 样 。 








AEM ze, Alan Turing 证 明了 人 条 些 问题 是 不 可 判定 的 。 不 管 算法 
的 时 间 复 杂 性 如 何 ， 编 写 算法 来 解决 它们 都 是 不 可 能 的 。 


问题 分 成 一 些 复杂 性 类 型 ， 它 取决 于 解法 的 复杂 性 。 图 11-1 给 出 了 
几 种 比较 重要 的 复杂 性 类 型 以 及 它们 之 闻 可 能 存在 的 关系 《不幸 的 是 ， 
天 于 这 一 点 还 没有 太 多 的 资料 从 数学 上 证 明 过 ) 。 


PSPACE- 完 全 





图 11-1 复杂 性 类 





在 底层 ，P 类 包括 所 有 能 用 多 项 式 时 间 解 决 的 问题 。NP 类 包括 所 有 
在 非 确定 型 图 灵机 上 可 用 多 项 式 时 间 解 决 的 问题 。 非 确定 型 图 灵机 是 标 
准 图 灵机 的 变形 ， 它 能 进行 猜测 。 此 机 器 通过 “幸运 猜测 ”或 平行 党 试 猜 
测 所 有 可 能 问题 的 解 ， 然 后 在 多 项 式 时 间 内 检查 它 的 猜测 。 


NP 问题 与 密码 学 的 关系 如 下 : 许多 对 称 算法 和 所 有 公开 密 钥 算法 
能 够 用 非 确 定性 的 多 项 式 时 间 《 算 法 ) 进行 攻击 。 如 果 已 知 密 文 C， 密 


码 分 析 者 简单 地 猜测 一 个 明文 X 和 一 个 密 钥 K， 然 后 在 输入 XX 和 K 的 基础 
上 上 ， 以 多 项 式 时间 运 行 加密 算 法 ， 然 后 检查 结果 是 否 等 于 C。 这 在 理论 
上 很 重要 ， 因 为 它 给 出 了 对 于 这 类 密码 算法 ， 密 码 分 析 复 杂 性 的 上 限 。 
当然 ， 实 际 上 它 是 密码 分 析 者 所 要 寻找 的 确定 的 多 项 式 时 间 算 法 。 还 

有 ， 这 个 结论 不 是 对 所 有 的 密码 类 型 都 适合 ， 它 尤其 不 适合 于 一 次 一 密 
乱码 本 方式 ， 因 为 对 任何 C， 妆 运行 加 密 算法 求解 时 ， 有 许多 X、K 对 可 
以 产生 C， 但 这 些 X 的 大 多 数 都 是 至 无 意义 的 ， 没 有 合法 的 明文 。 

















NP 类 包括 P 类 ， 因 为 任何 在 确定 性 图 灵机 上 用 多 项 式 时 间 算 法 可 解 
决 的 问题 ， 在 非 确 定性 图 录 机 上 用 多 项 式 时 间 算法) 也 是 可 解决 的 ， 
因为 猜测 阶段 可 以 简单 地 省 略 。 


如 果 所 有 NP 问题 在 确定 性 图 灵机 上 用 多 项 式 时 间 (算法 ) 是 可 解 
决 的 ， 那 么 P=NP。 虽 然 一 些 NP 问 题 看 上 去 显然 比 男 一 些 困难 得 多 (如 
穷 举 攻击 与 加 密 明文 的 一 个 随机 分 组 明文 )， 但 PzZNP (BKP=NP) 还 
未 被 证 明 。 然 而 ， 在 复杂 性 理论 领域 内 进行 研究 的 每 一 个 人 都 猜想 它们 
是 不 相等 的 。 


更 奇特 的 是 ， 在 NP 中 有 些 特 殊 的 问题 被 证 明 与 此 类 中 的 任何 问题 
一 样 困难 。Steven Cook 13651 证 明了 可 满足 性 问题 (给 出 一 个 命题 的 
布尔 公式 ， 有 对 变量 赋值 ， 使 公式 为 真 的 方法 吗 ?) 是 NP 完全 (NP- 
complete) 问题 。 这 意味 着 ， 如 果 可 满足 性 问题 在 多 项 式 时 间 (算法 ) 
内 是 可 解决 的 ， 那 么 P=NP。 相 反 ， 如 果 NP 中 的 任何 问题 能 够 被 证 明 没 








有 一 个 确定 的 多 项 式 时 间 算 法 ， 此 证 明 就 将 给 出 可 满足 性 问题 也 没有 一 
个 确定 的 多 项 式 时 间 算 法 。 因 此 ， 可 满足 性 问题 在 NP 中 是 最 难 的 问 


jel 


自 Cook 的 创造 性 论文 发 表 以 来 ， 大 量 的 问题 被 证 明 等 价 于 可 满足 性 
问题 ， 文 献 [600] 中 列 出 了 数 百 个 表 ， 以 下 给 出 一 些 例 子 。 根 据 等 价 
性 ， 我 认为 这 些 问 题 也 是 NP 完 全 问题 : 它们 是 NP 问 题 ， 而 且 与 NP 中 的 
任何 问题 一 样 困难 。 如 果 它 们 在 确定 的 多 项 式 时 间 《 算 法 ) 上 的 可 解 性 
得 到 解决 ， 那 么 P 与 NP 问题 也 将 获得 解决 。P 是 否 等 价 于 NP 这 个 问题 是 
计算 复杂 性 理论 未 解决 的 中 心 问 题 ， 没 有 人 指望 它 会 很 快 得 到 解决 。 如 
果 有 人 证 明 P=NP， 那 么 这 本 书 的 绝 大 部 分 将 是 落后 于 时 代 的 。 如 前 所 
述 ， 密 码 的 许多 类 型 用 非 确 性 型 的 多 项 式 时 间 是 很 容易 破译 的 。 如 果 
P=NP， 那 么 它们 用 可 行 的 、 确 定性 的 算法 就 可 破译 了 。 

















在 复杂 性 等 级 中 ， 比 NP 高 的 是 PSPACE。PSPACE 中 的 问题 能 在 多 
项 式 空 间 中 解决 ， 且 不 一 定 需要 多 项 式 时 间 。PSPACE 包 括 NP， 但 
PSPACE 中 的 一 些 问题 被 认为 比 NP 还 要 难 解 。 当 然 ， 这 也 未 被 证 明 。 有 
一 类 称 为 PSBPACE 完 全 (PSPACE complete) 问题 ， 它 具有 这 样 的 性 
质 : 如 果 它 们 中 任何 一 个 在 NP 中 ， 那 么 PSPACE=NP; 如 果 它 们 中 任何 
一 个 在 P 中 ， 那 么 PSAPCE=P。 


最 后 ， 有 一 类 称 为 EXPTIME 的 问题 。 这 些 问 题 在 指数 时 间 内 可 以 


解决 。 实 际 上 能 够 证 明 ，EXPTEME 完 全 (EXPTIME-complete) 问题 在 


确定 的 多 项 式 时 间 内 有 是 不 可 解 的 。 那 就 是 说 ，P 不 等 于 EXPTIME 己 经 得 
到 证 明 。 


11.2.3 ”NP 完全 问题 


Michael Gareg 和 David Johnson 编 辑 了 一 份 300 多 个 NP 完全 问题 
(NP-complete problem) 的 目录 19°! ， 在 此 列 出 其 中 一 些 : 


旅行 商 问 题 。 一 名 旅行 商 必须 旅行 到 n 个 不 同 的 城市 ， 而 他 仪 有 一 
箱 汽油 ( 即 有 一 个 他 能 旅行 的 最 远 距 离 ) 。 有 方法 使 他 仅 用 一 箱 汽 油 而 


旅行 到 每 个 城市 恰好 一 次 吗 ?”“【〔 这 是 一 般 的 汉密尔顿 问题 ， 见 5.1 市 》 











-三方 匹配 问题 。 有 一 屋子 的 人 ， 包 括 n 个 男人 、n 个 女人 和 nm 个 牧师 
祖父、 犹太 教士 等 ) 。 正 和 常 的 婚礼 将 包括 一 个 男人 、 一 个 女人 和 一 个 
愿 主持 仪式 的 牧师 。 有 了 这 样 一 张 可 能 的 三 人 一 组 的 表 ， 是 否 可 能 安排 
n 场 婚礼 ， 使 每 一 个 人 要 么 和 一 个 人 结婚 ， 要 么 主持 一 个 婚礼 ? 








三方 满 足 性 问题 。 有 nn 个 逻辑 语句 ， 每 一 个 语句 具有 三 个 表达 式 : 
if (xandy) thenz; (xandw) or (notz) ; if ( (notuandnotx) 
or (zand (uornotx) ) ) then ( (notzandu) orx) 对 所 有 的 表达 式 
有 一 个 为 真 的 赋值 使 所 有 语句 均 满 足 吗 ? (这 是 前 面 提 到 的 满足 性 问题 
的 特殊 例子 。) 


11.3 ”数论 





这 不 是 一 本 关于 数论 的 书 ， 因 此 我 仅仅 列 出 一 些 对 密码 学 有 用 的 思 
想 。 如 果 你 想得到 数论 方面 更 详细 些 的 知识 ， 可 查询 文献 [1430、72、 
1171, 12, 959, 681, 742, 420] 。 我 最 喜欢 两 本 有 限 域 数 学 方面 的 文 
献 [971、1042] 。 还 可 查询 文献 L887 1157, 1158, 1060] 。 








11.3.1 模 运 算 





你 们 在 学 校 里 都 学 过 模 运 算 ， 它 称 为 “< 时钟 算 术 ”。 记 得 这 些 问题 
I: 如 果 Mildred 说 她 10: 00 钟 就 会 到 家 ， 而 她 述 到 了 13 小 时 ， 那 么 她 
什么 时 候 回 家 ， 她 的 父亲 等 了 她 几 小 时 呢 ? 那 就 是 模 12 运 算 。23 模 12 等 
F11: 


(10+13) mod 12=23 mod 12=11 mod 12 





另 一 种 写法 认为 23 和 11 的 模 12 运 算 相 等 : 
23=11 (mod 12) 


本 质 上 ， 如 果 a=b+kn 对 某 些 整数 k 成 立 ， 那 么 asb (modn) 。 如 果 a 
为 正 ，b 为 0~n， 那 么 你 可 将 b 看 做 a 被 n 整 除 后 的 余数 。 有 时 b 叫 做 a 模 nm 
的 余数 (residue) 。 有 时 ap 叫做 与 b 模 n 同 余 (congruent) (三 元 等 写 = 


表示 同 余 ) 。 这 些 都 是 对 同一 事物 的 不 同 说 法 而 已 。 


从 0 一 n-1 的 整数 组 成 的 集合 构成 了 模 n 的 完全 剩余 集 〈complete set 
of residue) 。 这 意味 着 ， 对 于 每 一 个 整数 a， 它 的 模 n 的 余 项 是 从 0 一 mn-1 
的 某 个 数 。 





a 模 mn 的 运算 给 出 了 a 的 人 余数， 余数 是 从 0~n-1 的 某 个 整数 ， 这 种 运 
算 称 为 模 变 换 Cmodular reduction) 。 例 如 ，5 mod 3=2。 


这 里 模 的 定义 与 一 些 编程 语言 中 的 模 定义 或 许 有 些 不 同 。 例 如 ， 
PASCAL 的 模 操 作 符 有 时 返回 一 个 负数 。 它 返回 一 个 从 - Cn-1) 一 n-1 的 
数 。 在 C 语 言 中 ，%% 操 作 符 返回 第 一 个 表示 项 被 第 二 个 表示 项 相 除 所 得 
出 的 余数 ， 如 果 其 中 任意 一 个 操作 项 是 负 的 ， 那 么 结果 就 为 负 。 对 于 本 
书 的 所 有 算法 ， 如 果 它 返回 一 个 负数 ， 你 应 该 将 n 加 到 这 个 模 运 算 操作 
的 结果 上 。 





模 运 算 就 像 普通 运算 一 样 ， 它 是 可 交换 的 、 可 结合 的 和 可 分 配 的 。 
而 且 ， 简 化 每 一 个 中 间 结 采 的 模 n 运 算 ， 其 作用 与 先进 行 全 部 运算 再 简 
化 模 n 运 算是 一 样 的 。 


(a+b) modn= ( (amodn) + (bmodn) ) modn 
(a-b) modn= ( (a modn) - (bmodn) ) modn 


(axb) modn= ( (amodn) x (bmodn) ) modn 


(ax (b+c) ) modn= ( ( (axb) modn) + ( (axc) modn) ) 


mod n 


密码 学 用 了 许多 模 n 运 算 ， 因 为 像 计算 离散 对 数 和 平方 根 这 样 的 问 
题 很 困难 ， 而 模 运 算 可 将 所 有 中 间 结 果 和 最 后 结果 限制 在 一 个 范围 内 ， 
所 以 用 它 进 行 计算 比较 容易 。 对 一 个 k 位 的 模 数 n， 任 何 加 、 减 、 乘 的 中 
间 结 果 将 不 会 超过 2k 位 长 。 因 此 可 以 用 模 运 算 进行 指数 运算 而 又 不 会 产 
生 巨 大 的 中 间 络 末 。 虽 然 计算 茶 数 的 乘 方 并 对 其 取 模 的 运算 











až mod n 


将 导致 一 系列 的 乘法 和 除法 运算 ， 但 有 加 速 运算 的 方法 : 一 种 方法 
旨 在 最 小 化 模 乘 法 运算 的 数量 ， 另 一 种 旨 在 优化 单个 模 乘 法 运算 。 因 为 
操作 步骤 划分 后 ， 当 完成 一 串 乘 法 ， 并 且 每 次 都 进行 模 运 算 后 ， 指 数 运 
算 束 更 快 ， 这 样 就 与 一 般 取 巡 没 有 多 大 差别 ， 但 当 用 200 位 的 数字 进行 
运算 时 ， 情 况 束 不 同 了 。 








例如 ， 如 果 要 计算 as mod n， 不 要 直接 进行 七 次 乘法 和 一 个 大 数 的 
模 化 简 : 


(axaxaxaxaxaxaxa) modn 





相反 ， 应 进行 三 次 较 小 的 乘法 和 三 次 较 小 的 模 化 简 : 


( (a2 modn) “modn) “modn 


以 此 类 推 ， 


alë modn= ( ( (a2modn) “modn) “modn) “modn 








当 x 不 是 2 的 贤 次 方 时 ， 计 算 ax mod n 稍 微 要 难 些 。 可 将 x 表示 成 2 的 
RIA ZA: 在 二 进 制 中 ，25 是 11001， 因 此 25=24 +23 +20 。 故 : 


a mod n= (axa24 ) mod n= (axa xal6 ) modn= (ax ( (a2) 2 


) 2x ( C Cat#) 2) 2) 2) modn 
=((( (a? xa) 2) 2) 2 xa) moda 
适当 利用 存储 的 中 间 结 果 ， 只 需要 6 次 乘法 : 


C€ C € C C (a? modn) xa) modn) * modn) * modn) modn) 


xa) modn 

这 种 算法 称 为 加 法 链 (addition chaining) 【863」， 或 二 进 制 平方 
和 乘法 方法 。 它 用 二 进 制 表 示 了 一 个 简单 明了 的 加 法 链 。 算 法 的 C 语 言 
描述 如 下 : 


unsigned long qe2 (unsigned long x, unsigned long y, unsigned long n) { 
unsigned long s,t,u; 


int i; 

s=1; t=x; ue-y 

while(u) { 
if (u&1) s = (s* t)%n 
ussel; 
t = (Ew t)i 

} 

return (s); 


Fy VASE 


unsigned long fast_exp(unsigned long x, unsigned long y, unsigned long N) { 
unsigned long tmp; 
if (y==1) return(x % N); 
if ((y&1)==0) { 
tmp = fast_exp(x,y/2,N); 
return ((tmp* tmp) SN) ; 


} 


else { 
tmp = fast_exp(x, (y-1)/2,N); 
tmp = (tmp* tmp) SN; 
tmp = (tmp* x) %N; 


return (tmp); 





如 果 用 k 表 示 数 x 中 位 数 的 长 度 ， 这 项 技术 平均 可 减少 1.5k 次 操作 。 
虽然 寻找 最 短 的 可 能 序列 很 困难 (已 经 证 明 这 样 的 序列 必须 包含 至 少 k- 
1 次 操作 ) ， 但 当 k 增 大 时 ， 获 得 低 于 1.1k 次 (甚至 更 好 ) 的 操作 是 不 太 
难 的 。 








Montgomery F HU] 被 认为 是 用 相同 的 n 进 行 多 次 模 化 简 的 有 效 
方法 。 另 一 种 方法 称 为 Barrett 算法 [87」 。 这 两 种 算法 的 软件 性 能 和 算 
法 的 前 期 讨论 见 [210] : 我 们 已 经 讨论 了 对 单个 模 化 简 的 最 佳 选择 算 
法 。 对 于 小 变量 的 模 化 简 ，Barrett 算 法 最 好 ; 对 于 一 般 的 指数 模 化 简 ， 





Montgomery 方 法 最 好 (Montgomery 方 法 还 可 利用 小 指数 的 混合 多 
JE 








与 指数 模 n 运 算 相 对 的 是 计算 离散 对 数 (discrete logarithm) 。 本 书 


将 简短 地 讨论 这 种 运算 。 


11.3.2 ”素数 





素数 是 这 样 一 种 数 : 比 1 大 ， 其 因子 只 有 1 和 它 本 身 ， 没 有 其 他 数 可 
以 整除 它 。2 是 一 个 素数 ， 其 他 的 素数 如 73、2521、2365347734339 和 
2790899 -1 等 。 素 数 是 无 限 的 。 密 码 学 ， 特 别 是 公开 密 钥 密码 学 常用 大 的 
素数 〈512 位 ， 甚 至 更 大 ) 。 





Evengelos Kranakis 写 了 一 本 关于 数论 、 素 数 以 及 它们 在 密码 学 上 应 
用 的 优秀 书 1881 。Paulo Ribenboim 写 了 两 篇 优秀 的 一 般 性 介绍 素数 的 


文 音 [1307、1308] 


11.3.3 RKAAT 


两 个 数 互 素 (relatively prime) 是 指 : 当 它 们 除了 1 外 没有 共同 的 因 
子 。 换 句 话 说， 如 果 a 和 mn 的 最 大 公 因 子 (greatest common divisor) 等 于 


gcd (a, n) =1 


数 15 和 28 是 互 素 的 ，15 和 27 不 是 ， 而 13 和 500 是 。 一 个 素数 与 它 的 
倍数 以 外 的 任何 其 他 数 都 是 互 素 的 。 





计算 两 个 数 的 最 大 公 因 子 最 容易 的 方法 是 用 欧 几 里 得 算法 
(Euclid’s algorithm) 。 欧 几 里 得 在 公元 前 300 年 所 写 的 《Elements》 中 
描述 了 这 个 算法 。 这 个 算法 并 非 由 他 发 明 ， 历 史学 家 相信 这 个 算法 在 当 
时 已 有 200 年 历史 。 它 是 幸存 到 现在 最 古老 的 非 几 的 算法 ， 至 今 它 仍 是 
完好 的 。Knuth 在 文献 [863] 中 描述 了 这 个 算法 和 一 些 现代 的 改进 。 


算法 的 C 语 言 描述 如 下 : 


/* returns gcd of x and y */ 
ing god (int x, int y) 


x 
OR; 
y 


g ; 
while (x > 0) { 


这 个 算法 可 以 推广 为 返回 由 m 个 数组 成 的 gcd 数 组 。 


/* returns the gcd of xl, x2...xm */ 
int multiple gcd (int m, int *x) 
size t i; 
int oF 


if (m < 1) 
return 0; 
g = x[0]; 
for (i=1; i<m; ++i) { 
g = gcd(g, x[i]); 
/* optimization, since for random x[i], g==1 60% of the time: */ 
if (g == 1) 
return i; 


} 


return g; 


11.3.4 RRE 


Wyt (inverse) 1? 4 的 乘法 逆 元 是 1 / 4， 因 为 4x1 / 4=1。 在 
模 运 算 的 领域 ， 这 个 问题 更 复杂 





4xx=1 (mod 7) 





这 个 方程 等 价 于 寻找 一 组 x 和 k， 以 使 : 


4x=7k+1 


这 里 x 和 k 均 为 整数 。 


更 为 一 般 的 问题 是 寻找 一 个 x， 使 得 : 


1= (axx) modn 


也 可 写作 : 


al=x (modn) 


解决 模 的 逆 元 问题 很 困难 。 有 时 候 有 一 个 方案 ， 有 时 候 没 有 。 例 
如 ，5 模 14 的 逆 元 是 3，， 5x3=15=1 (mod 14) 。2 模 14 却 没有 逆 元 。 


一 般 而 论 ， 如 果 a 和 n 是 互 素 的 ， 那 么 al sx (modn) 有 唯一 解 ， 如 
果 a 和 nm 不 是 互 素 的 ， 那 么 al1sx (modn) 没有 解 。 如 果 n 是 素数 ， 那 么 
从 1~n1 的 每 一 个 数 与 n 都 是 互 素 的 ， 且 在 这 个 范围 内 恰好 有 一 个 逆 


TUo 


一 切 顺利 。 现 在 ， 怎 样 找 出 a 模 mn 的 逆 元 呢 ? 有 一 系列 的 方法 。 欧 几 
里 得 算法 也 能 计算 a 模 pn 的 逆 元 ， 有 时 候 这 叫做 扩展 欧 儿 里 得 算法 


Cextended Euclidean algorithm) 。 


下 面 是 用 C++ 写 的 算法 : 


#define isEven (x) ((% & 0x01) == (0) 
#define isOdd (x) (x & 0x01) 
#define swap (x,y) (xe Fa a7, ye Oe ae, oe > 


void ExtBinEuclid(int *u, 


{ 


Int AV, int Sil int *u2, int U3) 


// warning: u and v will be swapped if u < v 


im Ky, “GL. 62, Ess 


if (*u < *v) swap(*u,*v); 


for (k = 0; isEven(*u) 
£U SS= 17 ay sss 13 


} 


zul = 1s *02 = 0; SU 


if (isEven(*u3)) { 
if (isOdd(*ul1) 
Fal += #7 

} 


*Ul >55 Ls Fu2 
} 
if (isEven(t3) || 
swap (*ul,t1); 
} 


} while (isEven(*u3)); 
while (*ul < tl || *u2 

Sud, += ty; U2 +s 
} 


SUL == tly “uz -= "25 
} while (t3 > 0); 
while (*ul >= WY && *u 
xul aS Hy U2 == ži; 


} 


kul see ke *u2 <<= k; 


&& isEven(*v) ; 


= kür CL = Eys 


|| isOdd(*u2) 
FUZ += FU; 


++k) { 


ae 


S>= thse “us Ss Ls 


u3 < 3): 4 
swap (*u2,t2); 


a E2) { 
žu; 
US == “ES; 


2 >= *u) { 


*u3 «<= k; 


main(int argc, char **argv) { 


int a, b, gcd; 


if large 2 3) { 
cerr << "Usage: xeucli 
return -1; 


} 


int u = atoi(argv[1]); 
int, v= atel (argv [2] y; 
LE (G= 0 || 7 <= 0) 


swap (*u3, t3); 


d u y" << endl; 


{ 


cerr << "Arguments must be positive!" << endl; 


return -2; 


} 


// warning: u and v will be swapped if u < v 
ExtBinEuclid(&u, &v, &a, &b, &gcd) ; 


COUE << a << " * " ge 
sa Dea W WW Sg Yds 


if (ged == T) 


u ee " + (-" 
n s'u es: 


cout << "the inverse of " << v << " 


<< ü - b << endl; 
return 0; 


<< endl; 


fied $ << u << " Te: 


在 此 ， 我 不 打算 马上 证 明 它 是 正确 的 或 给 出 它 的 理论 基础 。 在 文献 
L863] 或 者 前 面 提 到 的 任 一 篇 数论 文章 中 可 找到 详细 的 介绍 





此 算法 通过 达 代 运算 来 实现 ， 对 于 大 的 整数 ， 其 运行 可 能 较 慢 。 
Knuth 指 出 这 个 算法 完成 的 除法 的 平均 数目 是 


0.843xlog， (n) +1.47 


11.3.5 RAŽ 


欧 几 里 得 算法 可 用 于 解决 下 面 的 一 类 问题 : 给 出 一 个 包含 m 个 变量 
Xp» Xoo o Xm 的 数组 ， 求 一 个 包含 m 个 系数 ul ，u ，…，un 的 数 
组 ， 使 得 


U1 XX1 十 ...+U XX =1 


11.3.6” 费 尔 马 小 定理 


如 果 上 是 一 个 系数 ， 且 a 不 是 mm 的 倍数 ， 那 么 ， 根 据 费 尔 马 小 定理 


(Fermat’s little theorem) 有 : 
a™l=1 (mod m) 


(Pierre de Fermat (1601—16654E) ， 译 为 “ 费 尔 马 ”， 法 国 数学 


家 。 该 定理 与 他 其 后 的 定理 无 关 。) 


11.3.7 KRAY RŽ 





还 有 男 一 种 方法 计算 模 n 的 逆 元 ， 但 不 是 在 任何 情况 下 都 能 使 用 。 
模 n 的 余数 化 简 集 (reduced set of residues) 是 余数 完全 集合 的 子 集 ， 与 
n 互 素 。 例 如 ， 模 12 的 余数 化 简 集 是 {1，5，7，11}。 如 果 n 是 素数 ， 那 
么 模 n 的 余数 化 简 集 是 从 1~n-1 的 所 有 整数 集合 。 对 n 不 等 于 1 的 数 ， 数 0 
不 是 余数 化 简 集 的 元 素 。 


欧 拉 函数 (Euler totient fuction〉， 也 称 为 欧 拉 籼 函 数 ， 写 作 
Y) ， 它 表示 模 n 的 余数 化 简 集 中 元 素 的 数目 。 换 句 话说 ,y(n) K 
示 与 n 互 素 的 小 于 n 的 正 整数 的 数目 (n>1) > (Leonhard Euler (1707— 
1783 年 ) ， 译 作 *“ 欧 拉 ”， 瑞 士 数学 家 。 ) 


如 果 n 是 素数 ， 那 么 wy CM) =n-1; 如 果 n=pq， 且 p 和 4q 互 素 ， 那 么 
y Cn) = (p-1) (q-1) 。 这 些 数字 在 随后 谈 到 的 公开 密 钥 密码 系统 中 
将 再 次 出 现 ， 它 们 都 来 自 于 此 。 


根据 费 尔 马 小 定理 的 欧 拉 推广 ， 如 果 gcd a, nd) =1， 那 么 


a’ “M mod n=1 








现在 计算 a 模 n 很 容易 : 


此 


-> 


gcd 


x=a¥ œ% -1 modn 


例如 ， 求 5 模 7 的 逆 元 是 多 少 ? MATERA y (7) =7-1=6。 
5 模 7 的 逆 元 是 


56-1 mod 7=5° mod 7=3 


计算 逆 元 的 两 种 方法 都 可 推广 到 在 一 般 性 的 问题 中 求解 x〈 如 果 
Ca, n) =1) : 


(axx) mod n=b 
用 欧 拉 推广 公式 ， 解 : 


x= (bxa¥ “™ -1 ) modn 


x= (bx (a! modn) ) modn 


IS, RJ LEA Eh 77 Ee ER, Ral EMT 


500 位 范围 内 的 数 。 如 果 gcd (a, n) xz1， 并 非 一 切 都 没 用 了 。 这 种 一 般 
情况 而 言 ， (axx) modn=b， 可 能 有 多 个 解 或 无 解 。 





11.3.8 ”中国 剩余 定理 


如 果 已 知 n 的 素 因 子 ， 那 么 就 能 利用 中 国 剩余 定理 (Chinese 
remainder theorem) 求解 整个 方程 组 。 这 个 定理 的 最 初 形式 是 由 1 世纪 的 
中 国 数学 家 孙子 发 现 的 。 


一 般 而 言 ， 如 果 n 的 素 因 子 可 分 解 为 n=pl xp x.…xpt ， 那 么 方程 组 


(x mod p; ) =a, i=l, 2, ..., t 





有 唯一 解 ， 这 里 x<n《〈 注 意 ， 有 些 素 数 可 能 不 止 一 次 地 出 现 。 例 
OH, py 可 能 等 于 py ) 。 换 句 话 说 ， 一 个 数 〈 小 于 一 些 系 数 之 积 ) 被 它 
的 余数 模 这 些 系 数 唯一 确定 。 


例如 ， 取 素数 3 和 5， 取 一 个 数 14， 那 么 14 mod 3=2，14 mod 5=4。 
则 小 于 3x5=15 且 具有 上 述 余数 的 数 只 有 14， 即 由 这 两 个 余数 唯一 地 确定 
了 数 14。 


如 果 对 任意 a<p 和 b<q (p 和 q 都 是 素数 ) ， 那 么 ， 当 x<pxq 时 ， 存 在 
一 个 唯一 的 x， 使 得 


x=a (mod p) Hx=b (mod q) 
为 求 出 这 个 x， 首 移 用 欧 几 里 得 算法 找到 u， 使 得 
uxq=1 (mod p?) 


然后 计算 : 


x= ( ( (a-b) xu) modp) xdq+b 


用 C 语 言 所 写 的 中 国 剩余 定理 如 下 : 


/* r is the number of elements in arrays m and u; 


m is the array of (pairwise relatively prime) moduli 
u is the array of coefficients 


return value is n such than n == u[k])%m[k] (k=0..r-1) and 
n < m[0O]*m[1]*...*m[r-1] 

*/ 

/* totient() is left as an exercise to the reader. */ 


int chinese remainder (size t r, int *m, int *u) 
{ 
Size t a; 

int modulus; 

int n; 

modulus = 1; 

for (is0: i<r; +41) 

modulus *= m[i]; 

n, = 0% 

for (i=0; ier; ++i) f 

n += u[i] * modexp(modulus / m[i], totient(m[i]), 
moa) 

五 = modulus; 


} 


return n; 

中 国 剩余 定理 的 一 个 推论 可 用 于 求 出 一 个 类 似 问 题 的 解 : 如 果 p 和 gq 
都 是 素数 ， 且 p<q， 那 么 存在 一 个 唯一 的 x<pxq， 使 得 

a=x (mod p) Hb=x (mod q) 

如 果 azb mod p, AA 

x= ( ( (a- (bmodp) ) xu) mod p) xq+b 


如 果 a<b mod p, AA 


x= ( ( (atp- (bmodp) ) xu) modp) xqtb 


11.3.9 ”二 次 剩余 


如 果 p 是 素数 ， 且 a<p， 如 果 
x =a (modp) 对 某 些 x 成 立 
那么 称 a 是 对 模 p 的 二 次 剩余 (quadratic residue) 。 


不 是 所 有 的 a 的 值 都 满足 这 个 特性 。 如 果 a 是 对 模 n 的 一 个 二 次 剩 
余 ， 那 么 它 必定 是 对 模 n 的 所 有 了 又 因子 的 二 次 剩余 。 例 如 ， 如 宁 p=7， 那 


么 二 次 剩余 是 1、2 和 4: 
1° =1=1 (mod 7) 
2? =4=4 (mod 7) 
3? =9=2 (mod 7) 
4? =16=2 (mod 7) 
5* =25=4 (mod 7) 


62 =36=1 (mod 7) 


注意 ， 每 一 个 二 次 剩余 在 上 面 都 出 现 了 两 次 。 





没有 x 值 可 满足 下 列 这 些 方程 的 任意 一 个 : 

x? =3 (mod 7) 

x? =5 (mod 7) 

x? =6 (mod 7) 

对 模 7 的 二 次 非 剩 余 (quadratic nonresidue) 是 3、5 和 6。 


很 容易 证 明 ， 当 p 为 奇数 时 ， 对 模 p 的 二 次 剩余 数目 恰好 是 〈p- 
1) /2， 且 与 其 二 次 非 剩余 的 数目 相同 。 而 且 ， 如 果 x“ 等 于 二 次 剩余 模 
p， 那 么 x 恰好 有 两 个 平方 根 ， 其 中 一 个 在 1 一 〈p-1) /2 之 闻 ， 另 一 个 
在 (p+1) /2~ (p-1) 之 间 。 这 两 个 平方 根 中 的 一 个 也 是 模 p 的 二 次 剩 
余 ， 称 为 主 平方 根 (pricipal square root) 。 














如 果 n 是 两 个 素数 p 和 g 之 积 ， 那 么 模 n 恰 好 有 Cp-1) (q-1) /4 个 二 
次 剩余 。 模 n 的 一 个 二 次 剩余 是 模 n 的 一 个 完全 平方 。 这 是 因为 要 成 为 模 
n 的 平方 ， 其 余数 必须 有 模 p 的 平方 和 模 q 的 平方 。 例 如 ， 模 35 有 11 个 二 
次 剩余 : 1、4、9、11、14、15、16、21、25、29、30。 每 一 个 二 次 剩 
余 怡 好 有 4 个 平方 根 。 





11.3.10 EENS 


勒 让 德 符 号 (Legendre symbol) ， 写 作 L (a，p) ， 当 a 为 任意 整 
数 且 p 是 一 个 大 于 2 的 素数 时 ， 它 等 于 0、1 或 -1。 











L (a, p) =0 如 果 a 被 p 整 除 

L (a, p) =1 如 果 a 是 二 次 剩余 

L (a, p) =-1 如 果 a 是 非 二 次 剩余 
一 种 计算 L (a, p) 的 方法 是 : 

L (a, p) =a PP /2modp 

或 者 用 下 面 的 算法 计算 : 

(1) 如 果 a=1， 那 么 L (a, p) =1。 


(2) 如 果 a 是 偶数 ， 那 么 LCa，p) 二 LCa/2, Pp)X( 一 Dw 


(3) 如 果 a 是 奇数 〈 且 az1) ， 那 么 L_ (a, p) =L (pmoda, a) 


x (-1) Ca-1) x (p-1) /4 F 











注意 ， 这 也 是 确定 a 是 否 是 对 模 p 的 二 次 剩余 的 有 效 方法 《虽然 仅 当 
p 是 素数 时 成 立 ) 。 


11.3.11 雅 可 比 符号 


雅 可 比 符号 (Jacobi symbol) ， 写 作 J Ca, n) ， 是 勒 让 德 符号 的 
合 数 模 的 一 般 化 表示 ， 它 定义 在 任意 整数 a 和 奇 整 数 n 上 。 这 个 函数 首先 
出 现在 素数 测试 中 。 雅 可 比 符号 是 基于 n 的 除数 的 余数 化 简 集 上 的 函 
数 ， 可 按 多 种 方法 进行 计算 [1424 ， 下 面 列举 一 种 方法 : 





定义 1: Joa, n) 只 定义 在 n 为 奇数 的 情况 下 。 
定义 2: J CO, n) =0. 
定义 3: 如 果 n 是 素数 ， 且 n 能 整除 以 4， 那么 J (a, n) =0。 


定义 4: 如 果 n 是 素数 ， 且 a 是 模 n 的 一 个 二 次 剩余 ， 那 么 J a, n) 


定义 5: 如 果 n 是 素数 ， 且 a 是 模 n 的 一 个 非 二 次 剩余 ， 那 么 J Ca, 
n) =-1。 


定义 6: 如 果 n 是 合 数 ， 那 么 J] Ca, n) =J (a, py) x...xJ (a, Pm 
) ， 其 中 pj ...p, 是 n 的 素 因 子 。 


计算 雅 可 比 符号 的 递归 算法 如 下 ; 


规则 1: J G, n) =1。 


a) -s 


a) 。 


规则 2: J (axb, n) =J (a, n) xJ (b, n) 。 

规则 3: WAR Cn? -1) /8 是 偶数 ， 则 J《〈2，Dn) =1; 人 否则， 为 -1。 
规则 4: J Ca, n) =J C (Camodn) , n) 。 

Sz- Ca, b, xb, ) =J (a, b,) xJ (a, bd) © 

规则 6: 如 果 a 和 b 都 是 奇数 ， 且 它们 的 最 大 公 因 子 是 1， 那 么 


规则 6a: 如 果 (a-1) (b-1) / 4 是 偶数 ， 那 么 J Ca, b) =J Ob, 


规则 6b: 如 果 (a-1) (b-1) /4 是 奇数 ， 那 么 J (Ca, b) =-J (b, 


算法 的 C 语 言 描 述 如 下 : 


/* This algorithm computes the Jacobi symbol recursively */ 

int. jaGobi(int a; int. N) 

{ 

Int. g; 
assert (od 
Lk a > 
if (a 

if (a 
a 
( 


d ( i 
b) $= b; /* by Rule 4 */ 
0) turn 0; /* by Definition 2 */ 
1) return 1; /* by Rule 1 */ 
ne ) 
LY & 2 == 0) 
return jacobi(-a,b) ; 
else 
return -jacobi (-a,b); 
if (a % 2 == 0) /* a is even */ 
if (((b*b - 1)/8) % 2 == 0) 
return +jacobi(a/2, b) 
else 
return -jacobi(a/2, b) /* by Rule 3 and Rule 2 */ 
g = geda, p); 
assert (odd(a)); /* this is guaranteed by the (a % 2 == 0) 
test */ 
if (g == a) /* a exactly divides b */ 
return 0; /* by Rules 5 and 4, and Definition 2 */ 
else if (g != 1) 
return jacobi(g,b) * jacobi(a/g, b); /* by Rule 2 */ 
else if (((a-1)*(b-1)/4) % 2 == 0) 
return +jacobi (b,a); /* by Rule 6a */ 
else 
return -jacobi (b,a); /* by Rule 6b */ 


如 果 已 知 n 是 素数 ， 则 不 需要 运行 以 上 算法 ， 而 只 需 简单 地 计算 
a or /2) mod n。 这 种 情况 下 ， 雅 可 比 符号 ](a，n) 等 同 于 勒 让 德 
符号 。 

雅 可 比 符号 不 能 用 来 确定 一 个 数 a 是 否 是 对 模 n 的 二 次 剩余 (当然 ， 
除非 "是 素数 ) 。 注 意 ， 如 果 J (a，n)=1， 且 n 是 合 数 ， 那 么 4 是 对 模 n 
的 二 次 剩余 这 一 点 不 一 定 为 真 。 例 如 : 


J (7, 143) =J (7, 11) xJ (7, 13) = (-1) (-1) =1 


然而 ， 没 有 一 个 整数 使 得 x =7 mod 143. 


11.3.12 Blum ži 


如 果 p 和 4q 是 两 个 素数 ， 且 都 是 与 3 模 4 同 余 的 ， 那 么 n=pxd 叫 做 Blum 
整数 (Blum integar) 。 如 果 n 是 一 个 Blum 整 数 ， 那 么 它 的 每 一 个 二 次 
剩余 恰好 有 4 个 平方 根 ， 其 中 一 个 也 是 平方 ， 这 就 是 主 平方 根 。 例 如 ， 
139 模 437 的 主 平 方 根 是 24。 其 他 三 个 平方 根 是 185、252 和 413。 








11.3.13， 生 成 元 


如 有 果 p 是 一 个 素数 ， 且 g 小 于 p， 对 于 从 0 一 p-1 的 每 一 个 b， 都 存在 某 
个 a， 使 得 ga =b (modp) ， 那 么 g 是 模 p 的 生成 元 〈generator) 。 也 称 为 


g 是 p 的 本 原 元 (primitive) 。 
例如 ， 如 果 p=11，2 是 模 11 的 一 个 生成 元 : 
210 =1024=1 (mod 11) 
2t =2=2 (mod 11) 
28 =256=3 (mod 11) 


22 =4=4 (mod 11) 


24 =16=5 (mod 11) 

29 =512=6 (mod 11) 

2’ =128=7 (mod 11) 

23 =8=8 (mod 11) 

2° =64=9 (mod 11) 

2° =32=10 (mod 11) 

从 1 一 10 的 每 一 个 数 都 可 由 2a (mod p) 表示 出 来 。 


对 于 p=11， 生 成 元 是 2、6、7 和 8。 其 他 数 不 是 生成 元 。 例 如 ，3 不 
是 生成 元 ， 因 为 下 列 方程 无 解 。 

3a=2 (mod 11) 

通常 ， 找 出 生成 元 不 是 一 个 容易 的 问题 。 然 而 ， 如 果 你 知道 p-1 的 
因子 怎样 分 解 ， 它 就 变 得 很 容易 。 令 q; ，q, ...，q, 是 p-1 的 素 因 子 ， 为 


了 测试 一 个 数 g 是 否 是 模 p 的 生成 元 ， 对 所 有 的 q=q1 > do» -> qa tt 
算 : 








g P-1) 4 (mod p) 


如 果 对 qd 的 某 个 值 ， 其 结果 为 1， 那 么 g 不 是 生成 元 ;如 有 果 对 q 的 任何 


值 ， 结 果 不 等 于 1， 那 么 g 是 生成 元 。 
例如 ， 令 p=11。p-1=10 的 素 因 子 是 2 和 5。 测 试 2 是 否 是 生成 元 : 
2 GL- /5 (mod11) =4 


2 (11-1) /2 (mod 11) =10 





没有 一 个 结果 是 1， 因 此 2 是 生成 元 。 
测试 3 是 否 是 生成 元 : 

3 411) /5 (mod11) =9 

3 LD /2 (mod11) =1 

因此 ，3 不 是 生成 元 。 


如 果 你 要 找 模 p 的 一 个 生成 元 ， 那 么 你 只 需 随 机 地 选择 一 个 1 一 p-1 
的 数 ， 测 试 它 是 否 是 生成 元 。 只 要 有 足够 多 的 选择 ， 你 就 可 能 很 快 地 找 
到 模 p 的 一 个 生成 元 。 








11.3.14 WMF ERF HiHi 


不 用 事先 说明， 我 们 束 正 在 这 样 做 了 。 如 有 宁 n 是 一 个 系数 或 一 个 大 
素数 的 居 ， 那 么 就 存在 数学 家 称 之 为 有 限 域 (finite field) 的 东西 。 


此 ， 我 们 将 它 称 为 p 而 不 是 n。 事 实 上， 这 种 类 型 的 有 限 域 是 如 此 令 人 激 
动 ， 以 至 于 数学 家 给 它 取 了 一 个 专 有 的 名 字 : MY PEL (Galosi 

field) ， 用 GF (p) 表示 。 (Evariste Galois 是 生活 在 19 世 纪 早 期 的 法 国 
数学 家 ， 在 他 20 岁 死 于 一 次 雇 斗 之 前 ， 他 在 数论 方面 做 了 许多 工作 。) 


在 伽 罗 瓦 域 上 ， 非 零 元 的 加 、 减 、 乘 、 除 均 有 定义 。 有 一 个 加 法 单 
位 元 0 和 一 个 乘法 单位 元 1。 每 一 个 非 零 数 都 有 唯一 的 逆 元 “如果 p 不 是 
素数 ， 这 一 点 不 成 立 ) 。 交 换 律 、 结 合 律 、 分 配 律 在 其 上 均 成 立 。 








伽 罗 瓦 域 上 的 运算 大 量 地 用 于 密码 方面 。 整 个 数论 运算 都 可 在 其 中 
进行 : 它 给 数 一 个 限制 范围 ， 除 法 将 不 会 有 任何 舍 入 错误 。 许 多 密码 系 
统 都 基于 GF p) ， 这 里 p 是 一 个 大 的 素数 。 





为 了 使 算法 更 复杂 ， 密 码 设 计 者 也 使 用 模 n 次 不 可 约 Cirreducible) 
多 项 式 的 算术 运算 ， 它 的 系数 是 模 q 的 整数 ，q 是 素数 。 这 些 域 称 为 
GF (q) 。 所 有 的 运算 都 模 p (x), p (x) 是 n 次 不 可 约 多 项 式 。 

















后 面 的 这 些 数学 理论 大 大 超出 了 本 书 的 范围 ， 尽 管 我 将 谈 到 一 些 应 
用 了 这 些 理论 的 密码 系统 。 如 果 你 想 在 这 方面 做 更 多 的 工作 ， 那 么 
GF (23) 有 以 下 元 素 : 0, 1, x, x+1, x?, x? +1，X2 +X，X2 +X+1。 
有 一 个 适合 并 行 处 理 的 计算 GF (2n ) 中 道 元 的 算法 ， 见 文献 [421] 。 





当 我 们 谈 到 多 项 式 时 ,，“ 叉 数 ” 这 个 术语 第 用 “不 可 约 ” 这 个 术语 来 代 
蔡 。 一 个 多 项 式 是 不 可 约 的 ， 如 果 它 不 能 表示 成 其 他 两 个 多 项 式 的 积 


(当然 ， 除 了 1 和 它 本 身 外 ) 。 多 项 式 +1 在 整数 〈 域 ) 上 是 不 可 约 
的 。 多 项 式 x3 +2x2 +x 不 是 ， 因 为 它 可 表示 为 x (x+1) (x+1) 。 





给 定 域 中 生成 元 的 多 项 式 叫做 本 原 多 项 式 ， 它 的 所 有 系数 是 互 系 
的 。 当 我 们 讨论 线性 反馈 移 位 寄存 器 时 《参见 16.2 节 ) ， 我 们 将 再 次 谈 
到 本 原 多 项 式 。 


GF (29) 中 的 计算 能 用 线性 反馈 移 位 寄存 器 以 硬件 快速 实现 。 由 
于 这 些 因素 ，GF (2) 上 的 运算 通常 比 GF (p) 上 的 运算 快 ， 且 计算 
GF (2) 上 的 寡 要 有 效 得 多 ， 这 也 用 于 计算 离散 对 数 【180、181、368、 
379」 。 如 果 你 想 了 解 更 多 这 方面 的 东西 ， 参 见 文献 [140] 。 


EME RGF (29) 上 ， 和 密码 设计 者 喜欢 用 三 项 式 p Cx) =x" 
+x+1 作 为 模 ， 因 为 x? 和 x 的 系数 之 间 ， 长 长 的 零 序 列 使 快速 的 模 乘 法 较 
易 实 现 [183」 。 这 个 三 项 式 必须 是 本 原 的 ， 否 则 数学 上 不 能 成 立 。 对 那 
些 本 原 的 xn +x+1 来 说 ， 小 于 1000 的 n 值 是 [1649、1648」. 





1, 3, 4, 6, 9, 15, 22, 28, 30, 46, 60, 63, 127, 153, 172, 


303, 471, 532, 865, 900 


当 p (x) =x! +x+1 时 ， 存 在 一 个 GF (29) 的 硬件 实现 【1631 
1632, 1129] 。 一 篇 讨论 在 GF (20) 中 实现 宕 运算 应 采用 的 有 效 硬件 结构 
的 文章 见 文献 [147] 。 





11.4 因子 分 解 


对 一 个 数 进 行 因子 分 解 就 是 找 出 它 的 素 因 子 : 
10=2x5 

60=2x2x3x5 

252601=41x61x101 


2113 -1=3391x23279x65993x1868569x1066818132868207 





在 数论 中 ， 因 子 分 解 问题 是 一 个 最 古老 的 问题 。 分 解 一 个 数 很 简 
单 ， 但 是 其 过 程 较 费 时 。 尽 管 如 此 ， 在 这 方面 还 是 有 一 些 进展 。 





目前 ， 最 好 的 因子 分 解 算 法 是 : 


. 数 域 筛选 法 (Number Field Sieve, NFS) [95] (也 可 参阅 文献 
[952、16、279] ) 。 对 大 于 110 位 左右 数字 长 的 数 [472 63] 来 说 ， 
一 般 的 数 域 筛选 是 目前 已 知 的 最 快 的 因子 分 解 算法 。 当 它 最 初 提出 来 
时 ， 它 是 不 实用 的 ， 但 随 着 过 去 几 年 的 一 系列 改进 上 “953」 ， 这 一 点 已 经 
改变 。NFS 目 前 作为 一 种 新 的 算法 ， 还 未 突破 任何 因子 分 解 的 记录 ， 不 
过 这 种 情况 很 快 就 会 改变 。 早 期 的 NFS 算 法 曾 用 于 对 第 九 个 费 尔 马 数 
2512 +1 进 行 因子 分 解 [955、954] 。 








其 他 一 些 算法 已 被 NFS 算 法 取代 : 


.二 次 筛选 法 (Quadratic Sieve, QS) £1257、1617、1259」 。 对 于 低 
于 110 位 的 十 进 制 数 来 说 ， 这 是 目前 已 知 的 最 快 的 算法 ， 且 已 得 到 广泛 
的 应 用 [440」 。 这 个 算法 一 个 较 快 的 版 本 叫做 多 重 多 项 式 二 次 筛选 法 
L1453、302」 。 这 个 算法 最 快 的 版 本 叫做 多 重 多 项 式 二 次 筛选 的 双重 大 素 
数 变 量 。 











-椭圆 曲线 法 (Elliptic Curve Method, ECM) [997+ 1112. 1113] 。 
这 个 方法 曾 用 于 寻找 43 位 数字 的 因子 ， 对 于 更 大 数 是 没 用 的 。 


.Pollard 的 蒙特 卡 罗 算 法 (Pollard’s Monte Carlo algorithm) 【1254、 
248] 。 这 个 算法 也 发 表 在 Knuth 的 第 2 卷 370 页 上 [863] 。 


. 连 分 式 算 法 Ccontinued fraction algorithm) 。 见 文献 [1123、 
1252, 863] ， 这 个 算法 其 至 是 不 能 运行 的 。 





MYA (trial division) 。 这 是 最 古老 的 因子 分 解法 ， 涉 及 测试 小 
于 或 等 于 所 选 数 平 方 根 的 每 一 个 素数 。 


对 这 些 不 同 因子 分 解 算法 ( 除 NFS 外 )〉 较 好 的 介绍 见 文献 
[L251」。 对 NFS 的 最 好 介绍 见 文献 L953」。 男 外 ， 较 老 的 参考 文献 是 
L505、1602、1258」。 有 关 并 行 因 子 分 解 的 内 容 见 文献 L250] - 


如 果 n 是 要 被 分 解 的 数 ， 那 么 最 快 的 QS 的 各 种 版 本 所 需要 的 渐 近 运 


行 时 间 是 : 


ETO dn j 1/2) 


(In(in(n)))/” 


NFS 法 要 快 得 多 ， 其 渐 近 的 时 间 估计 值 是 : 


p) 2/3) 
all. 928 TOM) MInt)) (In(In(2))) °°” 
1970 年 ， 最 大 的 新 闻 是 一 个 难 分 解 的 41 位 数 的 因子 分 解 13] 

( 难 分 解数 是 指 这 样 一 种 数 ， 它 没有 任何 因子 ， 且 不 具备 某 种 特殊 的 容 
易 被 分 解 的 形式 ) 。10 年 后 ， 分 解 一 个 两 倍 于 前 述 的 难 分 解数 ，Cray 计 

算 机 只 用 了 几 个 小 时 (440) 。 





1988 年 ，Carl Pomerance 用 定制 的 VLSI 片 [1259] 设计 了 一 台 因 子 分 
解 机 器 。 能 分 解 的 数字 的 大 小 取决 于 你 能 够 建立 多 大 的 一 台 机 器 。 他 本 
人 也 从 未 实现 它 。 


1993 年 ， 用 QS 已 能 分 解 120 位 数字 的 难 分 解数 。 该 运算 用 了 
825mips-year， 实 际 完成 的 时 间 为 3 个 月 “4634 ， 其 他 结果 见 [504] 。 





当今 的 因子 分 解 算 法 正 尝试 使 用 计算 机 网 络 实现 [302、955」 。 在 对 
一 个 116 位 数 进行 因子 分 解 时 ，Arjen Lenstra 和 Mark Manasse 用 了 
相当 于 占用 一 组 壳 及 世界 的 计算 机 数 月 的 空余 时 间 。 





400mips-year 





1994 年 3 月 ， 由 Lenstra 领 导 的 一 组 数学 家 用 多 重 多 项 式 二 次 筛选 的 
双重 大 素数 算法 “66」 ， 分 解 了 一 个 129 个 数字 〈428 位 ) 的 数 。 因 特 网 
上 的 600 名 志愿 者 和 1600 台 机 器 完成 了 该 运算 ， 整 个 过 程 花费 了 8 个 月 时 
间 ， 相 当 于 4000 一 6000mips-year， 这 可 能 是 最 大 的 专用 多 处 理 器 。 这 些 
计算 机 之 间 通 过 电子 邮件 互相 通信 ， 将 各 自 的 运行 结果 发 送 给 中 心智 囊 
团 ， 由 中 心智 囊 团 进行 最 后 的 分 析 。 这 个 算法 使 用 了 QS 和 五 年 前 的 旧 
理论 ， 如 果 使 用 NFS 算 法 分 解 仅 需 花 费 1/10 的 时 间 1949] 。 文 献 [66] 
中 写 道 : “我 们 得 出 推 煌 ， 对 任何 能 花费 几 百 万 美元 、 几 个 月 的 准备 时 
间 的 组 织 ， 一 般 使 用 512 位 RSA 模 数 是 易 受 攻击 的 。” 他 们 认为 使 用 该 技 
术 来 分 解 512 位 的 数 将 困难 100 倍 ， 使 用 NFS 或 当前 的 技术 则 只 增加 了 10 
倍 的 难度 [99] 。 





为 了 跟 上 因子 分 解 的 现状 ，RSA 数 据 安全 公司 在 1991 年 3 月 设立 了 
RSA 因 子 分 解难 题 !532」 。 该 难题 包含 一 系列 较 难 分 解 的 数 ， 每 个 数 均 
为 大 小 大 致 相等 的 两 个 素数 之 积 。 每 个 被 挑选 的 素数 都 是 2 模 3 的 同 余 。 
该 难题 中 有 42 个 数 ， 数 据 位 数 从 100 一 500， 按 步 径 为 10 位 递增 (加 一 个 
额外 数 ，129 位 长 ) 。 到 目前 为 止 ，RSA-100、RSA-110、RSA-120 和 
RSA-129 都 已 用 QS 方 法 分 解 。 下 一 个 将 被 分 解 的 数 可 能 是 RSA-130《〈“ 用 
NFS 方 法 ) ， 或 直接 跳跃 到 RSA-140。 








因子 分 解 是 一 个 迅速 发 展 的 领域 。 推 断 因 子 分 解 技 术 的 发 展 是 很 困 
难 的 ， 因 为 没有 人 能 够 预见 数学 理论 的 进展 。 在 发 现 NFS 之 前 ， 许 多 人 


青 测 QS 接近 于 任何 因子 分 解 方 法 所 能 做 到 的 最 快 GRRR) ， 但 他 们 错 
Ta 


在 NFS 中 ， 近 期 的 进展 将 复杂 性 降低 一 个 常数 : 1.923。 有 些 数 具有 
特殊 的 格式 ， 如 费 尔 马 数 ， 有 一 个 1.5 左 右 的 常数 [955、954] 。 当 今 ， 
如 果 在 公开 密 钥 密 码 学 中 ， 难 分 解 的 数 合 有 那 种 类 型 的 常数 ，1024 位 的 
数 也 能 分 解 。 一 种 降低 常数 项 的 方法 是 找到 更 好 的 方法 将 数 表示 成 小 系 
数 的 多 项 式 。 这 个 问题 还 未 广泛 深入 研究 ， 但 可 能 很 快 就 能 取得 进展 


[949] : 








如 果 想 了 解 RSA 因 子 分 解难 题 的 最 新 研究 成 果 ， 请 发 e-mail 到 


challenge-info@rsa.com. 





模 n 的 平方 根 





如 果 n 征 两 个 素数 的 乘积 ， 那 么 计算 模 n 的 平方 根 在 计算 上 等 价 于 对 
n 进 行 因子 分 解 1283. 35. 36. 19] 。 换 名 话说 ， 如 果 知 道 n 的 素 因子 ， 
那么 就 能 容易 计算 出 一 个 数 模 pn 的 平方 根 ， 但 这 个 计算 已 被 证 明 与 计算 n 
的 素 因 子 一样 困难 。 





11.5 素数 的 产生 


公开 密 钥 算 法 需要 素数 ， 任 何 合理 规模 的 网 络 也 需要 许多 这 样 的 素 
数 。 在 讨论 素数 生成 的 数学 理论 之 前 ， 先 解决 以 下 显而易见 的 问题 : 








D 如 果 每 个 人 都 需要 不 同 的 素数， 难道 系数 不 会 被 用 光 吗 ? 当 
然 不 会 。 事 实 上 ， 在 长 度 为 512 位 或 略 短 一 些 的 数 中 ， 有 超过 10™! 个 素 
数 。 对 大 小 为 n 的 数 ， 一 个 随机 数 是 素数 的 概率 接近 于 〈LlHinn) , AA 
小 于 n 的 素数 的 总 数 为 n / Cnn) 。 宇 宙 中 仅 有 10 个 原子 ， 如 果 宇 宙 
中 的 每 一 个 原子 从 宇宙 诞生 到 现在 为 止 ， 每 1 微 秒 都 需要 10 亿 个 新 的 系 
数 ， 那 么 总 共 需 要 107 9 个 素数 ， 现 在 仍 将 剩 下 接近 101 个 512 位 的 素 
数 。 





(2) 是 否 会 有 两 个 人 侦 然 地 选择 了 相同 系数 的 情况 呢 ? 这 种 情况 
不 会 发 生 。 从 超过 10”1 个 素数 中 选择 相同 的 素数 ， 发 生 这 种 情况 的 可 
能 性 比 在 你 获得 抽奖 时 你 的 计算 机 恰好 自然 烧 坏 的 可 能 性 还 要 小 。 


(3) 如 果 有 人 建立 了 所 有 素数 的 数据 库 ， 难 道 他 不 能 用 这 个 数据 
库 来 破译 公开 密 钥 算法 ? 是 的 ， 他 可 以 ， 但 他 不 会 这 样 做 。 如 果 你 能 将 
10 亿 字 市 的 信息 存储 在 1 克 重 的 设备 上 ， 那 么 所 有 512 位 的 素数 的 重量 将 
超过 Chandrasekhar 限 ， 导 人 致 系统 骨 江 ， 进 入 黑洞 .….. 那 样 的 话 ， 你 将 无 
论 如 何 也 不 能 重新 找 回 你 的 数据 。 





如 果 进 行 因子 分 解 很 困难 ， 那 么 怎样 才能 使 系数 的 生成 容易 些 呢 ? 
这 是 一 个 Yes / No 的 问题 ， 问 题 “h 是 系数 吗 ?”* 比 复杂 点 的 问题 “hn 的 因子 


是 什么 ? ”更 容易 回答 。 


如 末 你 产生 随机 候选 数 ， 然 后 试 着 分 解 它 们 ， 从 而 找 出 系数 ， 这 种 
方法 是 错误 的 。 正 确 的 方法 是 对 产生 的 随机 数 先 测试 是 否 是 素数 。 有 许 
多 测试 能 够 确定 是 否 是 和 聚 数 。 可 用 可 信和 度 来 测试 一 个 数 是 人 否 是 素数 。 假 
BORA er A EK, AAR MAMI A SE KT II ATER 
到 的 素数 称 为 “工业 级 素数 ”:， 这些 数 只 有 可 控制 的 小 概率 不 是 素数 。 











假定 测试 的 失败 概率 设置 为 1250 ， 这 意味 着 有 1/10 的 概率 可 能 将 
合 数 错误 地 判定 为 系数 该 测试 永远 不 会 将 素数 错 判 为 合 数 ) 。 如 果 为 
了 某 些 原因 ， 你 需要 更 多 的 可 信和 度 来 确认 一 个 数 是 素数 ， 那 么 你 可 以 将 
错 判 的 概率 设 定 得 更 低 。 男 一 方面 ， 如 果 你 考虑 到 一 个 数 是 合 数 的 可 能 
性 比 你 在 全 国 抽 交 中 顾 得 头 奖 的 可 能 性 小 300 百 万 次 ， 那 么 你 也 许 就 不 
必 为 此 担忧 太 多 。 





这 个 领域 最 新 的 进展 可 参见 文献 [1256、206」， 其 他 一 些 重 要 论 


文 见 文 献 [1490、384、11、19、626、651、911] 。 


11.5.1 Solovag-Strassen 


Robert Solovag 和 Volker Strassen 开 发 了 一 种 概率 的 基本 测试 算法 


-1490」 。 这 个 算法 使 用 了 雅 可 比 函 数 来 测试 p 是 否 为 素数 : 
(1) 选择 一 个 小 于 p 的 随机 数 a。 
(2) 如 果 gcd (a, p) zxz1， 那 么 p 不 能 通过 测试 ， 它 是 合 数 。 
(3) 计算 j=a PD /2 mod p. 
(4) 计算 雅 可 比 符号 J Ca, p) o 
(5) WRIA (a，p) ， 那 么 p 肯 定 不 是 素数 。 
(6) 如 果 j=J Ca，p) ， 那 么 p 不 是 素数 的 可 能 性 至 多 是 50%% © 


数 a 称 为 一 个 证 据 Cwimess) ， 如 果 a 不 能 确定 p，p 肯 定 不 是 素数 。 
如 果 p 是 合 数 ， 随 机 数 a 是 证 据 的 概率 不 小 于 50%。 对 a 选择 t 个 不 同 的 随 
机 值 ， 重 复 t 次 这 种 测试 。p 通 过 所 有 t 次 测试 后 ， 它 是 合 数 的 可 能 性 不 超 
| ts 


11.5.2 Lehmann 


另 一 种 更 简单 的 测试 是 由 Lehmann 独 自 研 究 出 的 $945! 。 下 面 是 他 
的 测试 算法 : 


(1) 选择 一 个 小 于 p 的 随机 数 a。 


(2) 计算 a PP /2mod p。 
(3) 如 果 a PP /2 天 1 或 -1 (modp) ， 那 么 p 肯 定 不 是 素数 。 


(4) 如 果 a PP /2=1 或 -1 (modp) ， 那 么 p 不 是 素数 的 可 能 性 至 
多 是 50%。 


同样 ， 如 果 p 是 合 数 ， 随 机 数 a 是 p 的 证 据 的 概率 不 小 于 50%。 对 a 选 
择 t 个 不 同 的 随机 数 ， 重 复 t 次 这 种 测试 。 如 果 计 算 结果 等 于 1 或 -1， 但 并 
不 恒 等 于 1， 那 么 p 可 能 是 素数 所 冒 的 错误 风险 不 超过 1 / 2! 。 





11.5.3 Rabin-Miller 


这 是 一 个 很 容易 有 是 广泛 使 用 的 简单 算法 ， 它 基于 Gary Miller 的 部 分 
想法 ， 由 Michael Rabin 开 发 [1093、1284」 。 事 实 上， 这 是 在 NIST (美国 
国家 标准 和 技术 研究 所 ) 的 DSS 建议 中 推荐 算法 的 一 个 简化 版 [1149， 


1154 | : 


首先 选择 一 个 待 测 的 随机 数 p， 计 算 b，b 是 2 整除 p-1 的 次 数 〈 即 ， 
2> 是 能 整除 p-1 的 2 的 最 大 窜 数 ) 。 然 后 计算 mm ， 使 得 n=1+2b m. 


(1) 选择 一 个 小 于 p 随 机 数 a。 


(2) 设 j=0 用 z=am mod p- 


(3) 如 果 z=1 或 z=p-1， 那 么 p 通 过 测试 ，p 可 能 是 素数 。 
(4) 如 果 j>0 且 z=1， 那 么 p 不 是 素数 。 


(5) 设 j=j+1。 如 果 j<6 且 zzp-1， 设 z=z* mod p， 然 后 回 到 第 (4) 
步 。 如 果 z=p-1， 那 么 p 通 过 测试 ，p 可 能 是 素数 。 


(6) 如 果 j=b 有 日 zzp-1， 那 么 p 不 是 素数 。 


这 个 测试 较 前 一 个 速度 更 快 。 数 a 被 当成 证 据 的 概率 为 3 / 4。 这 意 
味 痢 当 迭 代 次 数 为 时 ， 筷 产生 一 个 假球 数 所 花费 的 时 间 不 超过 1 /4 。 
实际 上 ， 其 结果 是 非常 令 人 悲观 的 。 对 于 大 多 数 的 随机 数 ， 几 乎 99.9%% 


肯定 a 是 证 据 [96] 。 


更 好 的 估计 见 文献 [417] 。 对 n 位 n>100) 待 测 的 素数 ， 一 次 测 
试 错误 可 能 性 小 于 1/4722%2 ”。 如 果 n 为 一 个 256 位 的 数 ， 则 六 次 测 
试 的 错误 可 能 性 小 于 1/231 。 更 多 的 理论 参见 文献 [418] - 


11.5.4 ”实际 考虑 


在 实际 执行 算法 时 ， 产 生 际 数 是 很 快 的 。 


(1) 产生 一 个 n 位 的 随机 数 p。 








(2) 设 高 位 位 和 低位 位 为 1《〈 设 高 位 位 为 1 是 为 了 确保 该 素数 达到 





要 求 的 长 度 ， 设 低位 位 为 1 是 为 了 确保 该 素数 是 奇数 ) 。 


(3) 检查 以 确保 p 不 能 被 任何 小 素数 整除 :如 3，5，7，11 等 。 许 
多 算法 测试 p 对 小 于 256 的 所 有 素数 的 整除 性 。 最 有 效 的 测试 整除 性 的 方 
法 是 整除 所 有 小 于 2000 的 素数 1949! 。 使 用 字 轮 方法 (wheel) ， 可 以 
做 得 更 快 -863] 。 


(4) 对 某 个 随机 数 a 运 行 Rabin-Miller 测 试 。 如 果 p 通 过 测试 ， 则 另 
外 产生 一 个 随机 数 a， 再 重新 进行 测试 。 选 取 较 小 的 a 值 ， 以 保证 较 快 的 
计算 速度 。 进 行 5 次 Rabin-Miller 测 试 “6514 (一 次 看 起 来 已 足够 ， 但 我 
们 还 是 做 5 次 。〉 如 果 p 在 其 中 的 一 次 测试 中 失败 ， 重 新 产生 一 个 p， 再 
进行 测试 。 


Fa BE ce 不 是 每 次 者 产生 一 个 随机 数 p， 而 是 按 递 增 的 方式 
搜索 以 人 条 随机 数 为 起 点 的 所 有 数 ， 和 直到 找到 一 个 素数 。 


第 (3) 步 是 可 选择 的 ， 但 并 不 是 一 个 好 方法 。 测 试 一 个 随机 奇数 
p， 确 保 它 不 能 被 3、5 和 7 整除 ， 就 可 以 在 进行 第 《4) 步 前 排除 54% 的 
奇数 。 对 测试 小 于 100 的 所 有 系数 的 算法 排除 了 76% 的 奇数 ， 对 测试 小 
于 256 的 所 有 素数 的 算法 排除 了 80% 的 奇数 。 通 常 ， 测 试 的 n 越 大 ， 在 进 
行 Rabin-Miller 测 试 前 所 要 进行 的 预先 计算 就 越 多 。 


在 SparcI1[ 上 实现 上 面 描述 的 方法 ， 可 以 在 平均 2.8 秒 的 时 间 内 找到 
256 位 的 素数 ， 在 平均 24.0 秒 的 时 间 内 找到 512 位 的 素数 ， 在 平均 2 分 钟 


的 时 间 内 找到 768 位 的 素数 ， 在 平均 5.1 分 钟 的 时 间 内 找到 1024 位 的 系数 


[918] | 


11.5.5 GRA 


Re PSA pA G ZAR, MApAM GK REAL (strong prime) 
将 更 可 取 。 强 素数 是 满足 某 些 特性 的 素数 ， 使 得 用 某 些 特殊 的 因子 分 解 
方式 对 它们 的 乘积 n 进 行 分 解 很 困难 。 [1328、651] 中 给 出 了 以 下 特 
VE 


p-1 和 qd-1 的 最 大 公 因 子 应 该 较 小 。 





p-1 和 q-1 都 应 有 大 的 素 因子 ， 分 别 记 为 p' 和 gq'。 
:p'-1 和 g'-1 都 应 有 大 的 素 因 子 。 
.p+1 和 q+1 都 应 有 大 的 素 因 子 。 


-(p-1) /2 和 (q-1) / 2 都 应 该 是 素数 UPL. (注意 ， 如 果 这 一 
条 件 满足 ， 那 么 前 两 个 条 件 也 满足 。) 








强 素 数 是 否 必 要 是 一 个 争论 的 话题 。 设 计 这 些 性 质 是 为 了 对 抗 一 些 
古老 的 因子 分 解 算法 。 然 而 ， 最 快 的 因子 分 解 算 法 对 满足 这 些 准 则 的 数 
进行 因子 分 解 的 概率 与 对 不 满足 这 些 准 则 的 数 进行 因子 分 解 的 概率 几乎 


是 一 样 的 [931] 。 


我 特别 推荐 使 用 强 系 数 。 一 个 素数 的 长 度 比 它 的 结构 更 重要 。 并 
且 ， 缺 少 随机 性 的 结构 可 被 破坏 。 





这 一 点 或 许 会 改变 ， 或 许 会 发 现 新 的 因子 分 解 算 法 ， 它 对 菏 些 具有 
确定 性 质 的 数 比 对 不 具有 这 些 特性 的 数 能 更 好 地 进行 攻击 。 如 果 这 样 ， 
强 素数 或 许 会 再 次 被 强调 。 碍 看 某 些 理论 数学 刊物 ， 以 得 到 最 近 的 分 解 


MA pea 
消息 。 


11.6 有限 域 上 的 离散 对 数 
模 指数 运算 是 频繁 地 用 于 密码 学 中 的 另 一 种 单 向 函数 。 计 算 下 面 的 
表达 式 很 容易 : 
a“ mod n 
模 指数 运算 的 逆 问 题 是 找 出 一 个 数 的 离散 对 数 ， 这 是 一 个 难题 : 
求解 zx， 使 是 ax sb (mod n) 
例如 : 


如 果 3x =15 mod 17， 那 么 x=6 





不 是 所 有 的 离散 对 数 都 有 解 〈 记 住 ， 只 有 整数 才 是 合法 的 解 ) 。 发 
现下 面 的 方程 没有 解 x 很 容易 : 


3* =7 mod 13 


对 1024 位 的 数 求 离散 对 数 更 加 困难 。 





计算 有 限 群 中 的 离散 对 数 


密码 设计 者 对 下 面 三 个 主要 群 的 离散 对 数 很 感 兴趣 : 


.素数 域 的 乘法 群 : GF (p) o 
:特征 为 2 的 有 限 域 上 的 乘法 群 : GF (27) 。 
:有 限 域 F 上 的 椭圆 曲线 群 : EC CF) 。 


许多 公开 密 钥 算法 的 安全 性 是 基于 寻找 离散 对 数 的 ， 因 此 对 这 个 问 
题 进 行 了 广泛 的 研究 。 这 个 问题 的 综合 性 概述 和 目前 最 好 的 解法 可 参见 
文献 L1189, 1039] 。 这 个 方面 目前 最 好 的 文章 见 [934] 。 


如 果 p 是 模 数 ， 且 为 系数 ， 那 么 在 GF (p) 上 寻找 离散 对 数 的 复杂 


性 实质 上 与 对 同样 大 小 的 一 个 整数 hn 进行 因子 分 解 的 复杂 性 一 样 ，n 是 两 
个 大 致 等 长 的 素数 的 乘积 【1378、 9341 ， 即 





(1/2) (1/2) 


(1+FOC1)) Cnt 6) )D (In(In¢ p) )) 


Cc 


NEFS 更 快 一 些 ， 其 渐 近 的 时 间 估计 值 是 : 


4173) (2/3) 


C1, 923--O01)) (inC p)) (InCIn€ p) )) 


© 


如 果 p-1 仅 有 小 的 素 因 子 ，Stephen Pohlig 和 Martin Hellman 发 现 了 一 
种 在 GF (p) 上 计算 离散 对 数 的 快速 方法 [1253」 。 由 于 这 个 原因 ， 只 
有 p-1 至 少 有 一 个 大 因子 的 域 才 能 用 于 密码 学 中 。 另 一 个 计算 离散 对 数 





的 算法 见 文献 [14] ， 其 速度 可 与 因子 分 解 相 比较 ， 它 随即 被 推广 到 形 
如 GF (pr ) 的 域 上 [716] 。 这 个 算法 由 于 有 某 些 理论 上 的 问题 而 遭 到 
批评 [727」 。 另 一 些 文章 (11588) 指出 这 个 问题 实际 上 有 更 多 困难 。 





计算 离散 对 数 与 因子 分 解 有 紧密 的 关系 。 如 果 你 能 解决 离散 对 数 问 
题 ， 那 么 你 就 能 解决 因子 分 解 问题 。《〈 逆 命题 的 正确 性 还 未 被 证 明 ) 。 
目前 ， 在 素数 域 上 有 三 种 方法 计算 离散 对 数 1570. 934 648] : 线性 筛选 


法 dinear sieve) 、 高 斯 整数 法 (Gaussian integer scheme) 和 NFS。 








基本 的 扩展 计算 必须 在 每 个 域 上 做 一 次 。 之 后 ， 单 个 的 对 数 就 能 快 
速 进行 计算 。 对 基于 这 些 域 的 系统 而 言 ， 这 是 一 个 安全 缺陷 。 所 以 ， 不 
同 的 用 户 采 用 不 同 的 素数 域 是 很 重要 的 ， 尽 管 多 个 用 户 对 同一 应 用 可 以 
使 用 一 个 共同 的 域 。 








在 扩展 域 的 世界 里 ，GF 〈2a ) 并 未 被 研究 者 忽略 ， 一 个 算法 已 被 
提出 [727」 。Coppersmith 算 法 使 得 在 诸如 GF (2127 ) 这 样 的 域 上 找到 
离散 对 数 是 可 能 的 ， 而 在 诸如 GEF (240 ) 这 样 的 域 上 找到 它们 也 几乎 是 
可 能 的 (868! ， 这 些 都 基于 [180] 中 的 工作 。 虽 然 这 个 算法 的 预计 算 
过 程 很 庞大 ， 但 它 却 是 不 错 和 有 效 的 。 相 同 算法 的 一 个 低 效 的 版 本 实际 
执行 时 ， 在 经 过 7 小 时 的 预计 算 后 ， 对 GEF 217 ) 在 几 秒 内 就 找到 一 个 
离散 对 数 (11380. 180] 。 〈 曾 用 于 某 些 密码 系统 [142、1631、1632」 中 的 这 


个 特定 域 是 不 安全 的 。) 这 些 结果 的 综述 参见 (1189. 1039] ， 








i= 


最 近 ， 对 GF (2227) . GF (2383 ) 和 GF (24) 的 预计 算 都 已 完 
成 ， 对 GF (2°) 也 已 取得 了 显著 进步 。 这 些 计 算 都 是 在 一 台 具 有 1024 
个 处 理 器 的 紧 耦 合并 行 机 nCube-2 上 执行 的 【649、650」 。 计 算 GF (2593 
) 上 的 离散 对 数 还 是 一 个 未 实现 的 目标 。 


像素 数 域 上 的 离散 对 数 一 样 ， 预 计算 在 多 项 式 域 上 也 要 求 仅 计算 一 
次 离散 对 数 。Taher ElGamal [520」 给 出 了 一 个 计算 GF (p) 域 上 的 离 
散 对 数 的 算法 。 
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数据 加 密 标 准 (Data Encryption Standard, DES) ， 作 为 ANSI 的 数 
据 加 密 算 法 (Data Encryption Algorithm, DEA) 和 ISO 的 DEA-1， 成 为 
一 个 世界 范围 内 的 标准 已 经 20 多 年 了 。 尽 管 它 带 有 过 去 时 代 的 特征 ， 但 
它 很 好 地 抗 住 了 多 年 的 密码 分 析 ， 除 了 可 能 的 最 强 有 力 的 敌人 外 ， 对 其 
他 的 攻击 仍 是 安全 的 。 


12.1.1 标准 的 开发 


在 20 世 纪 70 年 代 初 ， 非 军用 密码 学 的 研究 处 在 混乱 不 堪 的 状态 中 。 
在 这 个 领域 几乎 没有 研究 论文 发 表 。 大 多 数 人 都 知道 军 方 采用 特殊 的 编 
码 设 备 来 进行 通信 ， 但 很 少 有 人 懂得 密码 学 这 门 科 学 。 尽 管 国 家 安全 局 
(NSA) 对 此 知之 甚 多， 但 他 们 却 不 公开 承认 自己 的 存在 。 








当时 的 购买 者 也 并 不 清楚 他 们 所 买 的 东西 。 只 有 儿 家 小 公司 制造 和 
出 售 密码 设备 ， 主 要 是 卖 给 外 国政 府 。 这 些 设备 干 差 万 别 ， 而 且 不 能 相 
互通 信 。 也 没有 人 真正 清楚 这 些 设备 是 售 保 密 ， 那 时 没有 独立 的 机 构 来 
认证 它们 的 安全 性 。 正 如 一 个 政府 报告 “44 中 所 说 : 














无 论 过 去 还 是 现在 ， 事 实 上 几乎 所 有 买主 并 不 懂得 密 钥 变 化 和 工作 
原理 对 加 密 / 解密 设备 的 实际 强度 影响 的 复杂 程度 ， 也 很 难 对 诸如 联 
机 、 脱 机 、 密 钥 产 生 等 这 些 满足 购买 者 安全 所 需 的 正确 方式 做 出 有 根 有 
据 的 判断 。 


1972 年 ， 国 家 标准 局 (NBS) ， 即 现在 的 国家 标准 与 技术 研究 所 
(NIST) ， 拟 定 了 一 个 旨 在 保护 计算 机 和 通信 数据 的 计划 。 作 为 该 计 
划 的 一 部 分 ， 他 们 想 开发 一 个 单独 的 标准 密码 算法 。 这 个 独立 的 算法 应 
该 能 测试 和 验证 ， 而 不 同 的 密码 设备 可 互 操作 ， 而 且 实 现 起 来 便宜 并 易 
于 得 到 。 


在 1973 年 5 月 15 日 的 《Federal Register》 上 ，NBS 发 布 了 公开 征集 标 
准 密码 算法 的 请 求 ， 他 们 确定 了 一 系列 的 设计 准则 : 


算法 必须 提供 较 高 的 安全 性 。 





-算法 必须 完全 确定 且 易 于 理解 。 


-算法 的 安全 性 必须 依赖 于 密 铀 ， 而 不 应 该 依赖 于 算法 。 


-算法 必须 对 所 有 的 用 户 都 有 效 。 


-算法 必须 适用 于 各 种 应 用 。 


:用 以 实现 算法 的 电子 絮 件 必须 很 经 济 。 


-算法 必须 能 有 效 使 用 。 


-算法 必须 能 验证 。 


-算法 必须 能 出 口 。 





公众 的 回答 表明 大 家 对 密码 标准 具有 相当 大 的 兴趣 ， 但 对 这 个 领域 
的 专业 知识 知之 甚 少 。 提 区 的 算法 都 与 要 求 相 去 甚 远 。 





1974 年 8 月 27 日 ，NBS 在 《Federal Register》 上 第 二 次 发 布 征集 。 最 
后 ， 他 们 收 到 了 一 个 有 前 途 的 候选 算法 : 该 算法 是 从 IBM 1970 年 初 开发 
出 的 一 个 叫 Lucifer (参见 13.1 节 ) 的 算法 发 展 起 来 的 。IBM 在 Kingston 
和 Yorktown Heights 有 一 支 致力 于 密码 学 的 研究 小 组 ， 其 人 员 包 括 Roy 


Adler. Don Coppersmith, Horst Feistd, Edna Grossman, Alan 








Konheim, Carl Meyer, Bill Notz, Lynn Smith, Walt Tuchman 和 和 Bryant 


Tuckerman. 








RE ASAE ASME, (A PSB. EAT) BAY i ZEEE TT find BE 
辑 运 算 ， 用 硬件 和 软件 实现 起 来 都 比较 有 效 。 


NBS 请 求 NSA 帮 助 ， 对 算法 的 安全 性 进行 评估 以 决定 它 是 否 适 于 作 
为 联邦 标准 。IBM 已 为 该 算法 OM 申请 了 专利 ， 但 他 们 同意 让 其 他 公 
司 在 制造 、 实 现 和 使 用 中 使 用 他 们 的 知识 产权 。NBS 与 IJBM 达 成 协议 ， 
制订 了 条 球 ， 最 后 获得 了 制造 、 使 用 和 销售 用 该 算法 实现 的 设备 免 去 版 


税 的 特许 。 


最 后 ， 在 1975 年 3 月 17 日 的 《Federal Register》 上 ，NBS 公 布 了 算法 
细节 和 IBM 准 予 该 算法 免 去 版 税 的 声明 及 征求 评论 '536」 ， 在 1975 年 8 
月 1 日 的 《Federal Register》 上 友 表 了 通知 ， 征 求 各 机 构 和 广大 公众 的 评 


论 。 


在 文献 L721, 497, 1120] 中 提 到 了 一 些 评论 。 许 多 密码 学 家 对 
NSA 在 开发 该 算法 时 的 “看 不 见 的 手 ” 很 警惕 ， 他 们 担心 NSA 修 改 了 算法 
以 安装 陷 门 。 他 们 抱 名 NSA 把 密 钥 长 度 从 原来 的 112 位 减少 到 56 位 〈 参 
13.1707) 。 他 们 还 抱怨 算法 的 内 部 操作 。NSA 许 多 做 法 的 原因 到 1990 
年 初 已 很 清楚 ， 但 在 20 世 纪 70 年 代 ， 却 显得 神秘 而 令 人 忧虑 。 


1976 年 ，NBS 成 立 了 两 个 专题 研究 小 组 来 评估 所 提出 的 标准 。 第 一 
个 专题 小 组 讨论 算法 的 数学 问题 及 安放 陷 门 的 可 能 性 :13?94 ;第 二 个 
专题 小 组 讨论 增加 算法 密 钥 长 度 的 可 能 性 [229」 。 讨 论 会 邀请 了 算法 的 
设计 者 、 评 估 者 、 实 现 者 、 零 售 商 、 用 户 和 批评 者 。 从 所 有 的 报道 看 


来 ， 讨 论 会 开 得 非常 热烈 [1118] 。 


尽管 备 受 责难 ，1976 年 11 月 23 日 DES 还 是 被 采纳 作为 联邦 标准 
[229] ， 并 授权 在 非 密级 的 政府 通信 中 使 用 。 该 标准 的 正式 文本 ，FIPS 
PUB 46 (DES) ， 在 1977 年 1 月 15 日 公布 ， 并 在 6 个 月 后 生效 [1140] , 


FIPS PUB 81 (DES 工 作 方式 ) 于 1980 年 公布 L1143」 ，FIPS PUB 


74〔 实 现 和 使 用 DES 的 指南 ) 于 1981 年 公布 [1142] 。 另 外 NBS 还 公布 
了 指定 DES 用 作 口 令 加 密 的 FIPS PUB 112 [1144] 和 指定 DES 用 作 计 算 
机 数据 鉴别 的 FIPS PUB 113 [1145」 〈FIPS 代 表 联 邦 信息 处 理 标准 ) 。 


这 些 标准 都 是 前 所 未 有 的 。 在 这 之 前 ， 没 有 一 个 NSA 执 行 的 算法 被 
公布 。 这 可 能 就 是 导致 NSA 和 NBS 相 互 误解 的 原因 。NSA 认 为 DES 仪 仅 
是 一 个 硬件 。 该 标准 要 求 一 个 硬件 的 实现 ， 但 NBS 对 这 一 标准 公布 了 足 
够 多 的 细节 ， 所 以 人 们 完全 可 以 写 出 DES 的 实现 软件 。 没 有 记录 的 报道 
称 ，NSA 曾 经 将 DES 视 为 他 们 一 个 最 大 的 错误 。 如 果 他 们 知道 细节 被 公 
布 ， 从 而 人 们 可 以 写 出 DES 的 软件 ， 那 么 他 们 永远 不 会 同意 公布 。DES 
在 密码 分 析 学 的 电子 实现 领域 做 得 更 多 一 些 。 目 前 NSA 正 在 研究 一 个 号 
称 是 安全 的 算法 。 不 出 意外 的 话 ， 它 将 是 下 一 个 官方 标准 算法 : 
Skipjack (参见 13.12 节 ) ， 这 方面 的 资料 是 保密 的 。 








12.1.2 ”标准 的 采用 


1981 年 ， 美 国 国家 标准 研究 所 CANSI) 批准 DES 作 为 私营 部 门 的 
标准 (ANSIX3.92) [5°] ， 他 们 称 之 为 DEA。ANSI 公 布 了 一 个 DEA 
工作 方式 的 标准 (ANSI X3.106) [521 和 一 个 用 DES 进 行 网 络 加 密 的 
标准 (ANSIX3.105) OU ， 前 者 借鉴 了 NBS 的 文档 说 明 。 


ANSI 内 的 其 他 两 个 组 (零售 金融 和 批发 金融 ) 开发 了 基于 DES 的 


标准 。 和 零售 金融 包括 金融 机 构 与 个 体 之 间 的 业务 ， 而 批发 金融 包括 金融 
机 构 与 客户 团体 之 间 的 业务 。 





ANSI 的 金融 机 构 零 售 安全 工作 组 为 PIN 的 管理 和 安全 开发 了 一 个 标 
准 (ANSI X9.8) [53] ， 另 外 又 为 零售 金融 信息 的 鉴别 开发 一 个 基于 
DES 的 标准 (ANSI X9.19) 1561 。 这 个 组 还 拟定 了 一 个 秘密 密 钥 分 配 


标准 的 草案 (ANSI X9.24) [581 。 


ANSI 的 金融 机 构 批发 安全 工作 组 自己 开发 一 套 标准 ， 这 套 标准 用 
于 信息 鉴别 (ANSI X9.9) (54! 、 密 钥 管理 (ANSIX9.17) “55、1151] 


、 加 密 (ANSI X9.23) 157] 和 个 人 及 节点 的 安全 鉴别 (ANSI X9.26) 


[so] | 


美国 银行 家 协会 为 金融 业 开发 了 几 个 自愿 性 标准 。 他 们 发 布 了 一 个 
标准 ， 推 荐 在 加 密 时 使 用 DES (11 ， 另 外 ， 他 们 还 发 布 了 一 个 密 钥 管 
理 标 准 [2] 。 


在 1987 年 计算 机 安全 条 令 颁 布 之 前 ， 由 美国 总 务 署 (GSA) 负责 制 
订 联 邦 电信 标准 。 自 从 计算 机 安全 条 令 颁 布 以 后 ， 改 由 NIST 负 责 。 
GSA 肥 布 了 三 个 基于 DES 的 标准 : 其 中 两 个 是 为 了 满足 一 般 的 安全 性 和 
互 操作 性 需要 的 联邦 标准 1026 16621 和 1027 [663」 ， 另 一 个 用 于 II 类 
传真 设备 的 联邦 标准 1028 14) 。 








美国 财政 部 制定 政策 ， 要 求 所 有 的 电子 资金 转账 电文 使 用 DES 鉴 别 


[468、40] 。 他 们 也 拟订 了 基于 DES 的 准则 [469] ， 所 有 的 鉴别 设备 必 


须 符合 这 些 准则 。 


国际 标准 化 组 织 〈ISO) 想 先 投票 赞成 将 DES《〈 改 名 为 DEA-1) 作 
为 国际 标准 ， 后 来 又 决定 不 涉足 密码 的 标准 化 工作 。 然 而 ，1987 年 ， 
ISO 下 属 的 国际 销售 金融 标准 组 在 国际 认证 标准 中 使 用 了 DES [758」 ， 
并 将 它 用 于 密 钥 管理 761」 。 在 澳大利亚 金融 标准 中 也 使 用 了 DES 


[1497] | 





12.1.3 DES 设备 的 鉴定 和 认证 


作为 DES 标 准 的 一 部 分 ，NIST 对 DES 的 实现 进行 鉴定 。 通 过 这 种 鉴 
定 ， 确 认 该 实现 是 否 遵循 标准 。 直 到 1994 年 ，NIST 也 只 鉴定 便 件 和 固 
件 实现 方法 一 一 那 时 标准 还 禁止 软件 实现 。 到 1995 年 3 月 ， 有 45 种 不 同 
的 实现 方法 已 通过 鉴定 。 





NIST 还 开发 了 一 个 程序 来 认证 设备 是 否 符合 ANSIX9.9 和 FIPS 
113， 到 1995 年 3 月 ， 已 有 33 种 产品 通过 鉴定 。 财 政 部 还 有 一 个 认证 规 
程 。 并且，NIST 开 发 了 一 个 程序 以 鉴定 设备 是 否 达 到 批发 密 钥 管 理 的 
ANSI X9.17 要 求 [1151] ， 到 1995 年 3 月 ， 已 有 4 种 产品 通过 鉴定 。 


12.1.4 1987 年 的 标准 


标准 的 条 款 中 规定 每 五 年 对 标准 重新 审查 一 次 。1983 年 ，DES 被 重 
新 认证 了 一 次 。 在 1987 年 3 月 6 日 的 《Federal Registor》 上 ，NBS 发 表 了 
一 个 请 求 ， 要 求 对 DES 的 第 二 个 五 年 进行 评估 。NBS 提 出 了 三 个 方案 以 
供 参 考 [1480 1481」 ， 再 使 用 该 标准 三 年 、 取 消 该 标准 或 者 修改 该 标准 
的 适用 性 。 





NBS 和 NSA 重 新 审查 了 这 个 标准 ， 这 次 NSA 参 与 得 要 多 一 些 。 根 据 
里 根 总 统 签 团 的 NSDD-145 的 行政 命令 ，NSA 在 密码 方面 上 对 NBS 有 从 
决 权 。 起 初 ，NSA 声 称 不 再 担保 这 个 标准 ， 其 原因 并 不 是 已 经 破译 了 
DES， 甚 至 连 怀疑 破译 了 都 不 是 ， 而 仅仅 是 DES 看 起 来 很 快 将 被 破译 。 








作为 替代 ，NSA 提 出 了 了 丙 业 通信 安全 担保 计划 〈CCEP) ， 该 计划 
最 终 将 提供 了 一 系列 的 算法 来 代替 DES 1851 。NSA 设 计 的 这 些 算 法 将 
不 会 公开 ， 而 且 只 运用 在 防 拆 的 VLSI 必 片 上 〈 见 25.1 节 ) 。 








此 通告 没 被 很 好 地 接受 。 许 多 人 士 指出 商业 上 《尤其 是 金融 上 ) 已 
广泛 使 用 了 DES， 没 有 合适 的 方案 来 代 蔡 它 。 上 废除 这 个 标准 将 使 得 许多 
机 构 无 法 保护 他 们 的 数据 。 经 过 大 量 的 争论 ，DES 再 获 肯 定 ， 可 以 作为 
美国 政府 标准 使 用 到 1992 年 【1141」 。 根 据 NBS 的 看 法 ，DES 将 不 会 再 
被 认证 了 [1480] 。 


12.1.5 ”1993 年 的 标准 


“ 话 不 要 说 绝 了 ”。 到 1992 年 ， 仍 然 没 有 DES 的 蔡 代 方案 。NBS 现 在 
称 为 NIST， 只 好 在 《Federal Register》 上 再 次 征求 对 DES 的 评估 [540] 


这 个 通告 的 目的 是 征求 对 继续 使 用 这 个 标准 保护 计算 机 数据 的 合适 
性 的 评价 。 对 于 FIPS 46-1 来 自 工 业界 及 公众 的 评论 如 下 。 评 论 中 包括 了 
这 些 可 选 方案 所 带 来 的 代价 和 益处 : 


:再 使 用 该 标准 五 年 。NISI 则 继续 鉴定 实现 该 标准 的 设备 。FIPS 46- 
1 将 继续 是 唯一 获 批 准 保 护 非 密 计算 机 数据 的 方法 。 


:取消 该 标准 。NISI 将 不 再 继续 支持 该 标准 。 各 机 构 可 以 继续 使 用 
现 有 的 实现 该 标准 的 设备 。NIST 将 发 表 另 外 的 标准 代替 DES。 





.修改 该 标准 的 适用 性 和 实现 说 明 。 修 改 将 包括 改变 标准 ， 除 硬件 
外 也 人 允许 用 软件 方法 实现 DES、 人 允许 在 特定 应 用 中 反复 使 用 DES、 人 允许 
使 用 由 NIST 批 准 并 注册 的 蔡 代 算法 。 


评估 于 1992 年 12 月 10 日 结束 。 依 照 NIST 的 代理 所 长 Raymond 
Kammer 的 话 [813」 : 





去 年 ，NIST 就 DES 的 重新 审查 问题 正式 征求 了 意见 。 在 考察 了 这 些 
评价 和 收 到 的 其 他 技术 性 的 建议 后 ， 我 打算 癌 商 业 部 长 建议 再 认证 DES 
五 年 。 我 也 打算 问 部 长 建议 ， 在 宣布 认证 的 同时 ， 也 要 在 接 下 来 的 五 年 


里 考虑 该 算法 的 蔡 代 方案 。 通 过 将 通告 公之于众 的 方式 ， 我 们 希望 给 人 
们 一 个 讨论 合适 的 技术 过 小 期 的 机 会 。 同 时 ， 我 们 必须 考虑 依赖 于 这 个 
己 证 明 标 准 的 巨大 的 已 安装 系统 的 基础 。 


尽管 技术 评审 局 引用 NIST 的 Dennis Branstead 的 话 ， 说 DES 的 使 用 寿 
命 将 在 20 世 纪 90 年 代 末 期 结束 .11311」 ,但 DES 算 法 还 是 又 被 认证 了 五 
年 [1150] 。DES 算 法 的 软件 实现 最 后 也 被 允许 鉴定 。 


人 们 都 在 猜测 ，1998 年 会 发 生 什 么 ? 


12.2 ”DES 的 描述 


DES 是 一 个 分 组 加 密 算 法 ， 它 以 64 位 为 分 组 对 数据 加 密 。64 位 一 组 
的 明文 从 算法 的 一 端 输入 ，64 位 的 密 文 从 为 一 端 输出 。DES 古 一 个 对 称 
算法 : 加 密 和 解密 用 的 是 同一 算法 《〈“ 除 密 钥 编排 不 同 以 外 ) 。 


密 钥 的 长 度 为 56 位 。〔 密 钥 通 党 表示 为 64 位 的 数 ， 但 每 个 第 8 位 痢 
用 作 奇 偶 校 验 ， 可 以 忽略 。) 密 钥 可 以 是 任意 的 56 位 的 数 ， 且 可 在 任意 
的 时 候 改变 。 其 中 极 少量 的 数 被 认为 是 弱 密 钥 ， 但 能 容易 地 避 开 它们 。 
所 有 的 保密 性 都 依赖 于 密 钼 。 





简单 地 说 ， 算 法 只 不 过 是 加 密 的 两 个 基本 技术 一 一 混乱 和 扩散 的 组 
合 。DES 基 本 组 建 分 组 是 这 些 技术 的 一 个 组 合 〈( 先 代 从 后 置换 ) ， 它 基 
于 密 钥 作用 于 明文 ， 这 是 众所周知 的 轮 (round) 。DES 有 16 轮 ， 这 童 
味 着 要 在 明文 分 组 上 16 次 实施 相同 的 组 合 技术 《〈 见 图 12-1) 。 
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图 12-1 DES 


此 算法 只 使 用 了 标准 的 算术 和 逻辑 运算 ， 而 其 作用 的 数 也 最 多 只 有 
64 位 ， 因 此 用 20 世 纪 70 年 代 末 期 的 硬件 技术 很 容易 实现 。 算 法 的 重复 特 
性 使 得 它 可 以 非常 理想 地 用 在 一 个 专用 芯片 中 。 最 初 的 软件 实现 很 粗 
陋 ， 但 现在 已 好 多 了 。 








12.2.1 ”算法 概要 


DES 对 64 位 的 明文 分 组 进行 操作 。 通 过 一 个 初始 置换 ， 将 明文 分 
分 成 左 半 部 分 和 右 半 部 分 ， 各 32 位 长 。 然 后 进行 16 轮 完全 相同 的 运算 ， 
这 些 运算 称 为 函数 f， 在 运算 过 程 中 数据 与 密 钥 结合 。 经 过 16 轮 后 ， 
左 、 右 半 部 分 合 在 一 起 经 过 一 个 末 置 换 〈 初 始 置换 的 逆 置 换 ) ， 这 样 该 
算法 就 完成 了 。 








Yt 


在 每 一 轮 中 〔 见 图 12-2〉 ， 密 钥 位 移 位 ， 然 后 再 从 密 钥 的 56 位 中 选 
出 48 位 。 通 过 一 个 扩展 置换 将 数据 的 右 半 部 分 扩展 成 48 位 ， 并 通过 一 个 
异 或 运算 与 48 位 密 钥 结合 ， 通 过 8 个 S 盒 将 这 48 位 蔡 代 成 新 的 32 位 数据 ， 
再 将 其 置换 一 次 。 这 四 步 运 算 构成 了 函数 {。 然 后 ， 通 过 为 一 个 异 或 运 
算 ， 函 数 { 的 输出 与 左 半 部 分 结合 ， 其 结果 即 成 为 新 的 右 半 部 分 ， 原 来 
的 右 半 部 分 成 为 新 的 左 半 部 分 。 将 该 运算 重复 16 次 ， 便 实现 了 DES 的 16 
轮 运算 。 
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假设 Bi EVGA MAAR, Li MR 是 Bi 的 左 半 部 分 和 右 半 部 分 ， 
Ki 是 第 i 轮 的 48 位 密 钥 ， 且 人 是 实现 代 符 、 置 换 及 密 钥 异 或 等 运算 的 图 
数 ， 那 么 每 一 轮 就 是 : 


图 12-2 一 轮 DES 


L,= Ra 
人 ;一 Lyi 中 fR »K;) 


12.2.2 ”初始 置换 


初始 置换 在 第 一 轮 运算 之 前 执行 ， 对 输入 分 组 实施 如 表 12-1 所 示 的 
变换 。 此 表 如 本 章 中 的 其 他 表 一 样 ， 应 从 左 向 右 、 从 上 向 下 读 。 例 如 ， 
初始 置换 把 明文 的 第 58 位 换 到 第 1 位 的 位 置 ， 把 第 50 位 换 到 第 2 位 的 位 
置 ， 把 第 42 位 换 到 第 3 位 的 位 置 等 。 


表 12-1 初始 置换 


初始 置换 和 对 应 的 末 置 换 并 不 影响 DES 的 安全 性 。《 正 如 人 们 所 
说 ， 它 的 主要 目的 是 为 了 更 容易 地 将 明文 和 密 文 数据 以 字 节 大 小 放 入 
DES 芯 片 中 。 记 住 ，DES 早 于 16 位 和 32 位 微 处 理 器 总 线 。) 因为 这 种 位 
方式 的 置换 用 软件 实现 很 困难 《虽然 用 硬件 实现 较 容 易 ) ， 所 以 DES 的 
许多 软件 实现 方式 删 去 了 初始 置换 和 末 置 换 。 尽 管 这 种 新 算法 的 安全 性 
不 比 DES 差 ， 但 它 并 未 遵循 DES 标 准 ， 所 以 而 不 应 叫做 DES。 








12.2.3 密 钥 置换 


开始 ， 由 于 不 考虑 每 个 字 节 的 第 8 位 ， 所 以 DES 的 密 钥 由 64 位 减 至 
56 位 ， 如 表 12-2 所 示 。 每 个 字 节 的 第 8 位 可 作为 奇偶 校 验 以 确保 密 钥 不 
发 生 错误 。 在 DES 的 每 一 轮 中 ， 从 56 位 密 钥 产生 出 不 同 的 48 位 子 密 钥 
(subkey) ， 这 些 子 密 钥 K; 由 下 面 的 方式 确定 。 





4212-2 密 钥 置换 


首先 ，56 位 密 钥 被 分 成 两 部 分 ， 每 部 分 28 位 。 然 后 ， 根 据 轮 数 ， 这 
两 部 分 分 别 循环 左 移 1 位 或 2 位 。 表 12-3 给 出 了 每 轮 移动 的 位 数 。 





表 12-3 每 轮 移动 的 位 数 


移动 后 ， 就 从 56 位 中 选 出 48 位 。 因 为 这 个 运算 不 仅 置换 了 每 位 的 顺 
bane 
permutaion) 。 运算 提供 了 一 组 48 位 的 集 。 表 12-4 定 义 了 压缩 置换 

也 称 为 置换 选择 ) 。 例 如 ， 处 在 第 33 位 的 那 一 位 在 输出 时 移 到 了 第 35 
位 的 位 置 ， 而 处 在 第 18 位 的 那 一 位 被 略 去 了 。 


表 12-4 压缩 置换 


41， 52, 31, 37, 17. 55, 30, 40, 51, 45, 33, 48, 


因为 有 移动 运算 ， 所 以 在 每 一 个 子 密 钥 中 使 用 了 不 同 的 密 钥 子 集 的 
位 。 虽 然 不 是 所 有 的 位 在 子 密 钥 中 使 用 的 次 数 均 相同 ， 但 在 16 个 子 密 铀 
中 ， 每 一 位 大 约 使 用 了 其 中 14 个 子 密 钥 。 








12.2.4 扩展 置换 


这 个 运算 将 数据 的 右 半 部 分 Ri 从 32 位 扩展 到 了 48 位 。 由 于 这 个 运算 
改变 了 位 的 次 序 ， 重 复 了 茶 些 位 ， 所 以 称 为 扩展 置换 Cexpansion 
permutation) 。 这 个 运算 有 两 个 方面 的 目的 : 它 产 生 了 与 密 钥 同 长 度 的 
数据 以 进行 异 或 运算 ; 它 提供 了 更 长 的 结果 ， 使 得 在 蔡 代 运算 时 能 进行 
压缩 。 但 是 ， 以 上 的 两 个 目的 都 不 是 它 在 密码 学 上 的 主要 目的 。 由 于 输 
入 的 一 位 将 影响 两 个 丛 换 ， 所 以 输出 对 输入 的 依赖 性 将 传播 得 更 快 ， 这 
叫做 雪 朋 效应 (avalanche effect) 。 故 DES 的 设计 着 重 于 尽 可 能 快 地 使 
得 密 文 的 每 一 位 依赖 明文 和 密 钥 的 每 一 位 。 








图 12-3 显 示 了 扩展 置换 ， 有 时 它 也 叫做 FE 盒 〈E-box) 。 对 每 个 4 位 
输入 分 组 ， 第 1 位 和 第 4 位 分 别 表 示 输 出 分 组 中 的 两 位 ， 而 第 2 位 和 第 3 位 
分 别 表 示 输 出 分 组 中 的 一 位 。 表 12-5 给 出 了 哪个 输出 位 对 应 于 哪个 输入 
位 。 例 如 ， 处 于 输入 分 组 中 第 3 位 的 位 置 位 移 到 了 输出 分 组 中 第 4 位 的 位 
置 ， 而 输入 分 组 中 第 21 位 的 位 置 位 移 到 了 输出 分 组 中 第 30 位 和 第 32 位 的 
位 置 。 
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图 12-3 扩展 置换 
#212-5 扩展 置换 
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16, Ie 18， 19， 20， 21, 20, Hi, 22s 23, 24, 25, 
尽管 输出 分 组 大 于 输入 分 组 ， 但 每 一 个 输入 分 组 产生 唯一 的 输出 分 
组 。 


12.25 SMR 
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算 。 人 代替 由 8 个 代 蔡 盒 (substitution box) ， 或 $ 盒 (S-box) 完成 。 
个 S 盒 都 有 6 位 输入 、4 位 输出 ， 且 这 8 个 S 盒 是 不 同 的 。 (DES 的 这 8 个 

S 盒 占 的 存储 空间 为 256 字 节 。) 48 位 的 输入 被 分 为 8 个 6 位 的 分 组 ， 每 个 





分 组 对 应 一 个 S 盒 代 蔡 操作 : 分 组 1 由 S 盒 1 操作 ， 分 组 2 由 S 盒 2 操作 等 。 


见 图 12-4。 











图 12-4 SERË 








每 个 S 盒 是 一 个 4 行 、16 列 的 表 。 盒 中 的 每 一 项 都 是 一 个 4 位 的 数 。S 
盒 的 6 个 位 输入 确定 了 其 对 应 的 输出 在 哪 一 行 哪 一 列 。 表 12-6 列 出 了 所 
有 8 个 S 盒 。 


表 12-6 SÊ 


( 续 ) 


12, l, 10, 15, 9, 2, 6. 8. 0, 13, 3, t, 14, T, 5, ll, 








输入 位 以 一 种 非常 特殊 的 方式 确定 了 S 盒 中 的 项 。 假 定 将 S 盒 的 6 位 
输入 标记 为 bl . by. bz. by. be. bgo b, 和 be 组 合 构成 了 一 个 2 位 的 
数 ， 从 0~3， 它 对 应 于 表 中 的 一 行 。 从 b, 一 bs 构成 了 一 个 4 位 的 数 ， 从 0 
一 15， 对 应 于 表 中 的 一 列 。 


例如 ， 假 设 第 6 个 S 盒 的 输入 《〈 即 异 或 函数 的 第 31 一 36 位 ) 为 
110011。 第 1 位 和 最 后 一 位 组 合 形成 了 11， 它 对 应 着 第 6 个 S 盒 的 第 三 
行 。 中 间 的 4 位 组 合 在 一 起 形成 了 1001， 它 对 应 着 同一 个 S 盒 的 第 9 列 。S 
盒 6 的 第 三 行 第 9 列 的 数 是 14〈 记 住 ， 行 、 列 的 记 数 均 从 0 开始 ， 而 不 是 
从 1 开始 ) ， 则 值 1110 就 代替 了 110011。 


当然 ， 用 软件 实现 64 项 的 S 盒 更 容易 。 仅 需要 人 花费 一 些 精 力 重 新 组 
织 S 盒 的 每 一 项 ， 这 并 不 困难 。《〈S 盒 的 设计 必须 非常 仔细 ， 不 要 仅仅 改 


变 碍 找 的 索引 ， 而 不 重新 编排 S 盒 中 的 每 一 项 。) 然而 ，S 盒 的 这 种 描 

， 使 它 的 工作 过 程 可 视 化 了 。 每 个 S 盒 可 看 做 一 个 4 位 输入 的 代替 函 
数 : bo ~b, 直接 输入 ， 输 出 结果 为 4 位 。bli Mbs 位 来 自 临近 的 分 组 ， 
们 从 特定 S 盒 的 四 个 代 蔡 函数 中 选择 一 个 。 





征 该 算法 的 关键 步骤 。 所 有 其 他 的 运算 都 是 线性 的 ， 易 于 分 析 。 
而 S 盒 是 非 线性 的 ， 和 它 比 DES 的 其 他 任何 一 步 都 提供 了 更 好 的 安全 性 。 


这 个 代 丛 过 程 的 结果 是 8 个 4 位 的 分 组 ， 它 们 重新 合 在 一 起 形成 了 一 
个 32 位 的 分 组 。 这 个 分 组 将 进行 下 一 步 : PREM. 


12.26 PREM 


S 盒 代替 运算 后 的 32 位 输出 依照 P 盒 〈P-box) 进行 置换 。 该 置换 把 
每 输入 位 映射 到 输出 位 ， 任 一 位 不 能 映射 两 次 ， 也 不 能 被 略 去 ， 这 个 置 
换 叫 做 直接 置换 (straight permutation) ， 或 就 叫做 置换 。 表 12-7 给 出 了 
每 位 移 至 的 位 置 。 例 如 ， 第 21 位 移 到 了 第 4 位 ， 同 时 第 4 位 移 到 了 第 31 








表 12-7 PREM 


16, Ts 20, 21, 29, 12, 28, 17, lis 15, 23, 26, 5, 18, 31, 10, 
8， 24， 14， 325 27， 3， 9， 19, 13, 30, 6, 22, 11, 1 ， 





最 后 ， 将 P 盒 置换 的 结果 与 最 初 的 64 位 分 组 的 左 半 部 分 异 或 ， 然 后 








左 、 右 半 部 分 交换 ， 接 着 开始 另 一 轮 。 
12.2.7 KAM 


末 置 换 是 初始 置换 的 逆 过 程 ， 表 12-8 列 出 了 该 置换 。 注 意 DES 在 最 
后 一 轮 后 ， 左 半 部 分 和 右 半 部 分 并 未 交换 ， 而 是 将 Ri6 与 L16 并 在 一 起 
形成 一 个 分 组 作为 末 置 换 的 输入 。 到 此 ， 不 再 做 其 他 的 事 。 其 实 交换 
、 右 两 部 分 并 循环 移动 ， 仍 将 获得 完全 相同 的 结果 。 但 这 样 做 ， 就 使 
该 算法 既 能 用 作 加 密 ， 又 能 用 作 解 密 。 


4212-8 KAM 


12.2.8 DES 解密 


在 经 过 所 有 的 代 符 、 置 换 、 姑 或 和 循环 移动 之 后 ， 你 或 许 认 为 解密 
算法 与 加 密 算 法 完全 不 同 ， 并 且 也 像 加 密 算 法 一 样 有 很 强 的 混乱 效果 。 
恰恰 相反 ， 经 过 精心 选择 各 种 运算 ， 获 得 了 这 样 一 个 非常 有 用 的 性 质 : 
加 密 和 解密 可 使 用 相同 的 算法 。 





DES 使 得 用 相同 的 函数 来 加 密 或 解密 每 个 分 组 成 为 可 能 。 两 者 的 唯 


一 不 同 是 密 钥 的 次 序 相反 。 这 就 是 说 ， 如 果 各 轮 的 加 密 密 钥 分 别 是 Ki 

，K, ，K3a ，...，Kie ， 那 么 解密 密 钥 就 是 K16 ，K15 ，K14 -o Kyo 

为 各 轮 产生 密 钥 的 算法 也 是 循环 的 。 密 钥 向 右 移动 ， 每 次 移动 的 个 数 为 
1 PE ST T 


12.2.9 ”DES 的 工作 模式 


FIPS PUB 81 定 义 了 四 种 工作 方式 : 电子 密 本 CECB) 、 密 人 码 分 组 
链接 (CBC) 、 输 出 反馈 (OFB) 和 密 文 反馈 (CFB) ( 见 第 9 章 ) 
L143] 。ANSI 银 行 标 准 中 规定 加 密 用 ECB 和 CBC 方 式 ， 鉴 别 用 CBC 和 n 
位 的 CFB 方 式 [2] 。 


在 软件 界 ， 认 证 问题 没有 引起 争论 。 因 为 ECB 方 式 简单 ， 所 以 尽管 
它 最 易于 攻击 ， 但 在 流行 的 商业 软件 产品 中 ， 它 仍 是 最 第 采 用 的 方式 。 
CBC 方 式 只 是 偶尔 采用 ， 尽 管 它 比 ECB 方 式 仅 仅 复 杂 一 点 儿 ， 但 它 提 供 
了 更 好 的 安全 性 。 











12.2.10 DES 的 硬件 和 软件 实现 





有 关 该 算法 高 效 的 硬件 和 软件 实现 方式 的 文章 ， 参 见 文献 [997、 
81、553、534、437、738、1573、176、271、1572] 。 到 目前 为 止 ， 
DES 心 片 速度 的 最 快 记 录 保 持 者 是 由 数字 设备 公司 (DEC) 开发 的 一 个 








样品 OPI 。 它 支持 ECB 和 CBC 方 式 ， 有 基于 GaAS 门 阵 的 5 万 个 晶体 
管 ， 数 据 加 密 / 解密 速率 达 1Gb/s， 它 能 在 1 秒 内 加 密 1680 万 个 数据 分 
组 ， 这 个 速率 是 令 人 难忘 的 。 表 12-9 列 出 了 一 些 商用 DES 芯 片 的 描述 。 
由 于 芯片 内 部 管线 的 不 同 ， 它 们 在 时 钟 速率 和 数据 速率 上 存在 着 差异 。 
一 个 芯片 中 可 能 有 多 个 并 行 工 作 的 DES 模 块 。 








制造 商 aS H 制造 日 期 时 钟 (MHz) 数据 速率 (MB/s) 可 用 性 
AMD Am9518 1981 3 1.3 否 
AMD Am9568 ? 4 1 T 
AMD AmZ8068 1982 4 1.7 否 
AT&T T7000A 1985 ? 1.9 否 


SuperCrypt 
CE-Infosys ` . : a 1992 20 1255 是 
CE99C003 


SuperCrypt 


CE-Infosys : 1994 30 20.0 te 

` CE99C003A 
Cryptech Cry12C102 1989 20 2.8 是 
Newbridge CA20C03A 1991 25 3. 85 是 
Newbridge CA20C03W 1992 8 0. 64 dt 
Newbridge CA95C68/18/09 1993 33 14. 67 是 
Pijnenburg PCC100 2 7 2.5 te 
Semaphore Communications Roadrunner284 z 10 Seo 是 
VLSI VM007 1993 32 200. 0 是 
VLSI VM009 1993 33 14.0 ié 
VLSI 6868 1995 32 64.0 是 
Western Digital WD2001/2002 1984 3 0. 23 否 


表 12-9 BNDES 


令 人 印象 最 深 的 DES 蕊 片 是 VLSI 的 6868《〈 正 式 的 叫 法 为 
Gatekeeper) 。 它 不 仅 可 以 在 8 个 时 钟 周 期 内 完成 DES 加 密 (其 样品 在 实 
验 室 内 只 用 了 4 个 时 钟 周期 ， 而 且 可 以 在 25 个 时 钟 周期 内 完成 ECB 方 
式 加 密 ， 在 35 个 时 钟 周期 内 完成 OFB 或 CBC 方 式 加密 。 这 听 起 来 简直 不 


可 能 ， 但 它 确 实 如 此 。 





DES 的 软件 实现 方法 ， 在 IBM 3090 大 型 计算 机 上 每 秒 能 完成 32000 
次 加 密 。 微 机 要 慢 一 点 儿 ， 但 仍 相 当 快 。 表 12-10 [603、793] 给 出 了 在 
Intel 和 Meotorola 的 几 种 微 处 理 器 上 运算 的 结果 和 估计 。 


表 12-10 不 同 微 处 理 器 上 的 DES 速 度 














处 理 器 速度 (MHz) DES 分 组 〈 每 秒 ) 
8088 Pak 370 
68000 7.6 900 
80286 6 1100 
68020 16 3500 
68030 16 3900 
80286 25 5000 
68030 50 10 000 
68040 25 16 000 
68040 40 23 000 
80486 66 43 000 

(4%) 

hk FEAS 速度 (MHz) DES 分 组 (每 秒 ) 
Sun ELC 26 000 
HyperSparc 32 000 
RS6000-350 53 000 
Spare 10/52 84 000 
DEC Alpha 4000/610 154 000 


HP 9000/887 125 196 000 


12.3 ”DES 的 安全 性 


长 久 以 来 人 们 对 DES 的 安全 性 都 持 怀 疑 态度 “4584」 。 对 密 钥 长 度 、 
迭代 次 数 和 S 盒 的 设计 有 颇 多 的 腾 测 ， 特 别 是 S 盒 一 一 所 有 的 S 盒 都 是 固 
定 的 ， 而 又 没有 明显 的 理由 说 明 为 什么 要 这 样 。 尽 管 ITBM 声 称 ，DES 内 
部 的 工作 方式 是 17 个 人 多 年 集体 密码 分 析 的 结果 ， 但 仍 有 些 人 担心 NSA 
在 算法 中 嵌入 了 陷 门 ， 这 样 一 来 ， 他 们 就 能 用 一 个 简便 的 方法 对 消息 进 


行 解密 。 








EÑ 


美国 参议 院 情报 调查 委员 会 于 1978 年 得 到 了 最 高 密级 的 许可 ， 调 查 
了 这 件 事 。 调 碍 结果 是 保密 的 ， 但 调查 结果 的 总 结 不 保密 ， 这 个 总 结 为 
NSA 洗 脱 了 不 适当 地 卷 入 了 该 算法 设计 的 罪名 (1592) 一 “据说 ，NSA 
使 IBM 相 信 ， 使 用 短 的 密 钥 比较 合适 ， 还 直接 帮助 设计 了 S 盒 的 结构 ， 
并 证 明了 最 终 的 DES 算 法 没有 统计 上 和 数学 上 的 弱点 。” 185) 然而 ， 
由 于 政府 一 直 没 有 将 调查 的 细 市 公之于众 ， 很 多 人 仍 持 怀 疑 态度 。 











设计 DES 的 两 个 IBM 密 码 学 家 Tuchman 和 Meyer 说 过 NSA 并 未 改动 设 
计 [481] ， 





MEAT FE AS Ty EE FR RA SE. RA BR EB FE PAIL. IBM 按 
照 NSA 的 要 求 将 含有 选择 准则 的 记录 了 予以 保密 ..…... Tuchman 解 释 
道 : “NSA 告 诉 我 们 ， 我 们 无 意 地 用 到 了 一 些 深 层次 的 秘密 ，NSA 束 是 








使 用 它们 来 编写 自己 的 算法 。” 


在 那 篇 文章 的 后 面 ，Tuchman 引 述 : “我 们 完全 在 IBM 范 围 内 ， 由 
IBM 的 人 员 来 开发 DES 算 法 。NSA 并 没有 指导 过 一 点 点 ! ”在 1992 年 的 


美国 国家 计算 机 安全 讨论 会 上 ，Tuchman 在 回顾 DES 的 历史 时 重申 了 这 
Fas, 


一 方面 ，Coppersmith 在 [373, 374] 中 写 道 : “NSA 也 为 IBM 提 
供 了 技术 建议 。* 而 且 ，Kon-heim 曾 经 引述 道 : “我 们 将 S 盒 送 到 华 盛 
顿 。 他 们 将 它 反馈 回来 ， 并 且 与 以 前 的 都 不 相同 。 我 们 运行 了 我 们 的 测 
试 ， 这 些 S 盒 都 通过 了 。” 人 们 以 此 作为 NSA 在 DES 算 法 中 蔡 入 了 陷 门 的 
WEHE o 


当 NSA 被 质询 是 否 在 DES 上 强加 了 漏洞 时 ，NSA 说 (363] : 


关于 DES， 我 们 相信 1978 年 参议 院 情报 委员 会 关于 NSA 在 开 及 DES 
中 所 起 作用 的 公开 报道 中 已 经 回答 了 这 个 问题 。 该 委员 会 的 报告 表明 ， 
NSA 并 没有 以 任何 形式 左右 DES 算 法 的 设计 ， 而 DES 提 供 的 保密 性 能 
对 它 要 保护 的 非 机 密 数据 而 言 足够 用 至 少 5 一 10 年 的 时 间 。 简 言 之 
NSA 没 有 把 缺陷 强加 或 试图 强加 到 DES 中 。 








那么 ， 他 们 为 什么 要 修改 $ 盒 ? 也 许 是 为 了 确保 IBM 没 有 在 DES 算 
法 中 其 入 了 陷 门 。NSA 没 有 理由 相信 IBM 的 研究 成 果 ， 而 且 如 果 他 们 不 
能 绝对 确定 DES 没 有 陷 门 ， 那 么 将 是 他 们 职员 上 的 琉 忽 。 修 改 S 盒 是 他 


们 确定 DES 有 无 陷 门 的 一 种 方法 。 


最 近 ， 一 些 新 的 密码 分 析 结 果 弄 清 了 这 个 问题 ,但 多 年 来 ， 关 于 它 
们 一 直 存 在 着 多 种 猜测 。 


12.3.1 55% 4H 


由 于 算法 各 轮 的 子 密 钥 是 通过 改变 初始 密 钥 这 种 方式 得 到 的 ， 所 以 
ee nee: ken 
分 成 了 两 部 分 ， 每 部 分 各 目 独 立地 移动 。 如 采 每 部 分 的 所 有 位 都 是 0 或 
1， 那 么 算法 的 任意 周期 的 密 钥 都 是 相同 的 。 当 密 钥 是 全 1、 全 0 或 者 一 
半 是 全 1、 一 半 是 全 0 时 ， 就 会 及 生 这 种 情况 。 此 外 ， 其 中 两 种 弱 密 钥 还 
具有 使 其 安全 性 变 差 的 其 他 性 质 [427- 。 





表 12-11 以 十 六 进 制 编码 方式 给 出 了 四 种 弱 密 钥 。 注意， 每 个 第 8 
位 是 奇偶 校 验 位 。) 








弱 密 钥 值 〈 带 奇偶 校 验 位 ) 真实 密 钥 
0101 0101 0101 0101 0000000 0000000 
1F1F 1F1F 0EOE 0EOE 0000000 FFFFFFF 
EOEO EOEO F1F1 F1F1 FFFFFFF 0000000 
FEFE FEFE FEFE FEFE FFFFFFF FFFFFFF 


表 12-11 DES 弱 密 钥 


此 外 ， 还 有 一 些 密 钥 对 把 明文 加 密 成 相同 的 密 文 。 换 句 话 说 ， 密 钥 


对 里 的 一 个 密 钥 能 解密 另 一 个 密 钥 加 密 的 信息 。 这 也 是 由 于 DES 产 生子 
密 钥 这 种 方式 所 决定 的 。 这 些 密 钥 只 产生 2 个 不 同 的 子 密 钥 ， 而 不 是 16 
个 不 同 的 子 密 钥 。 算 法 中 每 个 这 样 的 子 密 钥 都 使 用 了 8 次 。 这 些 子 密 钥 
叫做 半 弱 密 钥 (semiweak key) ， 表 12-12 以 十 六 进 制 表 示 方 法 给 出 了 


EA 








4212-12 DES 55% 4H 


O1FE O1FE O1FE O1FE All FEO1 FE01 FEO1 FEO1 
1FEO 1FEO OEF1 OEF1 和 EO1F E01F F10E F10E 
01E0 01E0 O1F1 O1F1 和 E001 E001 F101 F101 
1FFE 1FFE OEFE OEFE All FE1F FE1F FEOE FEOE 
011F 011F 010E 010E 和 1F01 1F01 0E01 0E01 
EOFE EOFE FIFE FIFE 和 FEEO FEEO FEF1 FEF1 


也 有 只 产生 4 个 子 密 钥 的 密 钥 ， 每 个 这 样 的 子 密 钥 在 算法 中 使 用 了 4 
次 。 这 些 可 能 的 弱 密 钥 在 表 12-13 中 列 出 。 


#212-13 DESH) RBA 55 4H 





























1F 1F 01 01 OE OE 01 01 EO 01 01 E0 F1 01 Ol Fl 
01 1F 1F 01 01 OE OE 01 FE 1F Ol EO FE OE 01 Fl 
1F 01 01 1F OE 01 0 OE FE 01 1F E0 FE 0l 0E Fl 
01 01 1F 1F 01 01 0E 0E E0 1F IF E0 Fl 0E OE F1 
E0 EO 01 01 F1 Fl 0 01 FE 01 0l FE FE 0l 0l FE 
FE FE 01 0l FE FE 0 01 E0 1F 01 FE Fl OE 01 FE 
FE E0 1F 01 FE Fl OE 01 E0 0l IF FE F1 0l OE FE 
EO FE 1F 01 Fl FE 0E 01 FE 1F 1F FE FE OE OE FE 
FE E0 01 1F FE Fl 01 0E 1F FE 01 E0 OE BE 01 Fl 
E0 FE 0l IF Fl FE 0l 0E 0l FE 1F E0 0l FE OE F1 
E0 EO 1F 1F Fl Fl 0E OE IF E0 01 FE OE Fl 01 FE 
FE FE LP 1F FE FE OE OE 01 EO 1F FE 01 Fl OE FE 
FE 1F EO 01 FE OE Fl 01 0l 0l EO EO 01 Ol F1 F1 
E0 IF FE 01 FI 0E FE 01 1F 1F E0 E0 OE 0E Fl Fl 
FE 01 E0 1F FE 0 Fl OE IF 0] FE E0 0E 0l FE Fl 
E0 01 FE IF Fl 0 FE 0E 01 1F FE E0 01 OE FE F1 
0l EO E0 0l 01 PI Fl Ol 1F 01 E0 FE OE 01 Fl FE 
1F FE E0 Ol OE FE FO 01 01 1F E0 FE 01 OE Fl FE 
IF E0 FE 01 OE F FE 01 01 01 FE FE 01 01 FE FE 
01 FE FE 01 01 FE FE 01 1F lF FE FE OE OE FE FE 
1F EO E0 1F OE F Fl OE FE FE E0 E0 FE FE Fl Fl 
01 FE E0 1F 01 FE Fl OE E0 FE FE E0 Fl FE FE Fl 
0l EO FE 1F 0l F1 FE OE FE E0 E0 FE FE Fl Fl FE 
1F FE FE 1F 0E FE FE OE E0 EO FE FE Fl Fl FE FE 
在 责备 DES 有 弱 密 钥 之 前 ， 请 移 考察 下 列 事实 ， 即 这 张 64 个 密 钥 的 


密 钥 表 相对 于 总 数 为 72、057、 


594、037、927、936 个 可 能 密 钥 的 密 针 
集 而 言 只 是 零头 。 如 果 你 随机 选择 密 钥 ， 选 中 这 些 弱 密 钥 中 一 个 的 可 能 





性 可 以 忽略 。 如 果 你 实在 对 此 耿耿 于 怀 ， 你 可 以 在 密 钥 产生 时 不 断 地 检 
查 ， 以 防 产 生 弱 密 钥 。 有 些 人 认为 不 值得 如 此 及 烦 。 男 一 些 人 说 ， 这 么 


容易 检查 ， 没 有 理由 不 做 。 


在 文献 [1116」 中 有 对 弱 密 钥 和 半 弱 密 钥 更 进一步 的 分 析 。 此 外 ， 


关于 密 钥 的 虚弱 性 对 其 他 密 钥 模式 也 已 做 了 调查 ， 但 什么 也 没有 发 现 


12.3.2 *b3845 


AINE, tite, RATA ORIN, RATA 
用 0 代 蔡 。 假 设 用 原来 的 密 钥 加 密 一 个 明文 分 组 得 到 一 个 密 文 分 组 ， 那 


只 用 该 密 钥 的 补 密 钥 加 密 将 该 明文 分 组 的 补 便 得 到 该 密 文 分 组 的 补 。 
如 果 X 是 x 的 补 ， 则 有 如 下 的 等 式 : 


Ek(P)= C 
E (Pj= C’ 





这 并 不 神秘 。 子 密 钥 与 每 一 轮 经 扩展 置换 输出 的 右 半 部 分 异 或 运 
算 ， 使 其 具有 互补 特性 的 直接 结果 。 


这 表明 ， 对 DES 的 选择 明文 攻击 仅 需 要 测试 其 可 能 的 236 个 密 钥 的 
一 半 ，255 个 即 可 [1080] | 


Eli Biham 和 Adi Shamir 已 经 证 明 对 相同 复杂 
度 的 已 知 明文 攻击 ， 至 少 要 有 233 个 已 知 明 文 “17?] 


这 是 否 是 DES 的 弱点 有 竺 讨论 。 因 为 绝 大 多 数 消息 并 无 明文 补 分 组 


《对 随机 的 明文 ， 出 现 明文 补 分 组 的 可 能 性 还 是 相当 大 ) ， 用 户 被 告戒 
不 要 使 用 补 密 钥 。 


12.3.3 ”代数 结构 


将 所 有 可 能 的 64 位 明文 分 组 映射 到 所 有 可 能 的 64 位 密 文 分 组 共有 
264 ! 种 不 同 的 方法 。56 位 密 钥 的 DES 算 法 ， 为 我 们 提供 了 236 (KA 
10'7 ) 个 这 种 映射 关系 ， 采 用 多 重 加 密 看 起 来 似乎 可 以 获得 这 些 可 能 映 
射 关 系 中 的 更 多 部 分 。 然 而 ， 这 仅 在 DES 运 算 不 具有 某 种 代数 结构 的 条 
件 下 才 成 立 。 








如 果 DES 是 闭合 的 Cclosed) ， 那 么 对 任意 的 K1 和 K, ， 必 将 存在 


Ks 使 得 
Ex, (Ey, (P)) = Ex (P) 


换言之 ，DES 对 一 组 明文 用 Ki 加 密 后 再 用 K, 加 密 ， 这 等 同 于 用 Ka3 
对 该 明文 进行 加 密 。 更 糟糕 的 是 ，DES 将 很 容易 受到 中 间 相 遇 明 文 攻 
击 ， 这 种 攻击 只 需要 搜索 228 步 [807] 。 


如 果 DES 是 纯洁 的 (pure) ， 那 么 对 任意 的 Ki ~ K, 和 Ks ， 必 将 存 
EK, 使 得 


Ex, (Ex, (Ex, (P))) = Ex, (P) 


三 重 的 加 密 将 是 无 用 的 “注意 ， 一 个 闭合 的 密码 必定 是 纯洁 的 ， 但 
纯洁 的 密码 不 一 定 是 闭合 的 〉。 


Don Coppersmith 写 的 早期 理论 性 文章 给 出 了 一 些 提示 ， 但 不 充分 
[377] 。 许 多 数学 家 曾 仔细 研究 过 这 个 问题 [588、427、431、527、723、789] 
， 这 些 研究 昌 获 得 了 DES 不 是 一 个 群 的 “大 量 证 据 * [307、371、808、1116、 
80] ， 但 直到 1992 年 密码 学 家 才 证 明 DES 不 是 一 个 群 L], 
Coppersmith 称 IBM 的 研究 队伍 一 直 都 知道 这 个 问题 。 





12.3.4” 密 钥 的 长 度 


IBM 最 初 向 NBS 提 交 的 方案 有 112 位 密 钥 。 直 到 DES 成 为 一 个 标准 
时 ， 才 被 削减 至 56 位 密 钥 。 许 多 密码 学 家 力荐 使 用 更 长 的 密 钥 ， 他 们 的 
理由 集中 在 穷 举 攻击 的 可 能 性 上 (参看 7.1 节 ) 。 


1976 年 和 1977 年 ，Diffie 和 Hellman 证 明 一 台 专 用 于 破译 DES 的 并 行 
计算 机 能 在 一 天 中 重新 找到 密 钥 ,但 将 耗资 2000 万 美元 。1981 年 ， 
Diffie 将 这 个 数据 增加 到 2 天 的 搜索 时 间 和 5000 万 美元 的 费用 “31 。 
Diffie 和 Hellman 据 此 指出 ， 除 了 像 NSA 这 种 机 构 外 ， 任 何人 都 不 可 能 破 
译 DES， 但 到 1990 年 时 ，DES 将 完全 是 不 安全 的 [714] 。 





Hellman 116] 提出 了 另 一 个 反对 短 密 钥 长 度 的 理由 : 用 存储 空间 
的 增 大 来 换取 时 间 的 减少 ， 将 加 速 这 一 搜索 过 程 。 如 用 每 个 可 能 的 密 钥 
加 密 一 个 明文 分 组 能 得 到 2 个 可 能 的 结果 ，Hellman 提 出 了 计算 和 存储 
这 些 结 果 的 可 能 性 。 这 样 的 话 ， 要 破译 一 个 未 知 的 密 钥 ， 密 码 分 析 者 所 


要 的 一 切 即 是 把 明文 分 组 插入 加 密 序列 中 ， 人 恢复 得 到 的 密 文 ， 从 而 找到 
密 钥 。Hellman 佑 计 ， 这 种 破译 机 的 费用 将 不 会 超过 500 万 美元 。 





关于 是 否 在 某 个 政府 的 某 个 地 下 室 里 秘密 地 存在 有 一 台 DES 人 破译 机 
的 争论 仍 在 继续 。 有 些 人 指出 ， 这 些 DES 心 片 的 平均 故障 间 隅 时 间 不 能 
确保 机 如 正 第 工作 ， 这 个 疑虑 已 在 文献 11278] 中 被 证 明 是 不 必要 的 。 
男 一 些 人 提出 了 提高 处 理 速度 和 减少 芯片 出 错 带 来 影响 的 方法 。 


同时 ，DES 的 硬件 实现 方法 逐步 接近 Diffie 和 Hellman 的 专用 机 所 要 
求 每 秒 百 万 次 加 密 的 速度 。1984 年 制造 出 了 每 秒 完成 256000 次 加 密 的 
DES 芯 片 L533 5341 。1987 年 又 研制 出 了 每 秒 完成 512000 次 加 密 的 芯 
片 ， 并 且 还 研制 出 了 每 秒 能 搜索 100 万 个 密 钥 的 芯片 L738、1573」 。 而 
且 ，1993 年 ，Michael Wiener 设 计 了 一 个 100 万 美元 的 机 器 ， 它 能 在 平均 
3.5 小 时 内 ， 完 成 对 DES 的 穷 举 攻击 《〈 人 参见 7.1 节 ) 。 





尽管 假定 有 人 拥有 这 种 穷 举 破译 机 是 有 一 定 赴 理 的 ， 但 没有 人 公开 
承认 建造 了 这 种 机 器 。100 万 美元 对 一 个 大 国 或 者 甚至 一 个 中 等 大 小 的 
国家 ， 都 不 是 一 个 大 数目 。 





直到 1990 年 ， 两 位 以 色 列 数学 家 Biham 和 Shamir 发 现 了 差分 密码 分 
析 技 术 (differential cryptanalysis) ， 这 种 技术 将 密 钥 长 度 问 题 暂 且 搁 
置 起 来 。 在 讨论 这 个 技术 前 ， 让 我 先 转 到 DES 的 其 他 一 些 设计 准则 上 。 


12.3.5 TEAR 





DES 为 什么 是 16 轮 而 不 是 32 轮 ?经 过 5 轮 迭 代 后 ， 密 文 每 一 位 基本 
上 是 所 有 明文 和 密 钥 位 的 函数 “1078、1080」 ， 经 过 8 轮 和 迭代 后 ， 密 文 基 
本 上 是 所 有 明文 和 密 钥 位 的 随机 函数 “8804 (这 称 为 雪崩 效应 ) 。 那 为 
什么 算法 在 8 轮 后 还 不 停止 呢 ? 


近年 来 ， 多 种 降低 轮 数 的 DES 已 被 成 功 地 攻击 。1982 年 ，3 轮 或 4 轮 
DES 就 被 轻易 地 破译 了 [494 。 几 年 后 ，6 轮 DES 也 被 破译 了 S] 。 
Biham 和 Shamir 的 差分 密 钥 分 析 同 样 也 了 阐明 了 这 一 点 : 对 低 于 16 轮 的 
任意 DES 的 已 知 明文 攻击 比 穷 举 攻击 有 效 。 有 趣 的 是 ， 当 算法 恰好 有 16 
轮 时 ， 只 有 穷 举 攻击 最 有 效 的 。 





12.3.6 SQ it 


Be T ADAIR T MTR RE TREE ESD, NSAID MHA EN SSAA 
内 容 。 当 被 质询 S 盒 的 设计 依据 时 ，NSA 表 示 ， 算 法 设计 原理 是 “敏感 
的 ”， 不 宜 公之于众 。 许 多 密码 学 家 担心 NSA 设 计 S$ 盒 时 隐藏 了" 陷 门 ” 
使 得 只 有 他 们 才 可 以 破译 算法 。 








目 从 那 时 起 ， 人 们 在 分 析 S 盒 的 设计 和 运算 上 做 了 大 量 的 工作 。20 
世纪 70 年 代 中 叶 ，Lexar 公 司 1961 721) 和 Bell 实 验 室 (101 研究 了 S 盒 
的 运算 ， 尽 管 他 们 都 发 现 了 不 能 解释 的 特征 ， 但 研究 中 并 没有 找到 弱 


点 。 如 宁 S 盒 是 随机 选择 的 ， 那 么 S 盒 的 线性 变换 将 具有 比 预 期 更 大 的 普 


bas, H 


裔 性 。Bell 实 验 小 组 说 S 盒 可 能 隐藏 了 陷 门 ，Lexar 的 报告 结论 是 : 





已 发 现 的 DES 的 结构 军 无 疑问 增强 了 系统 抗击 一 定 攻 击 的 能 力 ， 同 
时 也 正 是 这 些 结构 似乎 削弱 了 系统 抗 攻击 的 能 


A Fi, RMR AHS Se: 





GARGS EIN ZG) 问题 是 很 复杂 的 事 ， 借 助人 的 思维 能 力 去 发 现 
随机 数 的 结构 与 实际 的 结构 根本 不 相同 。 





在 DES 的 第 二 次 讨论 会 L，NSA 透 露 了 S 盒 的 几 条 设计 准则 [229] 


。 这 些 并 未 消除 人 们 的 猜测 ， 争 论 还 在 继续 L228 422, 714, 1506, 1551] 


关于 S 盒 的 文献 有 很 多 。 第 4 个 S 盒 的 后 三 位 输出 可 以 像 第 一 位 的 输 
出 一 样 ， 通 过 对 某 些 输入 位 取 补 推出 146 488) 。 经 过 精心 挑选 的 两 个 
不 同 输入 可 使 S 盒 产生 相同 的 输出 [464 。 如 果 只 改变 三 个 相 邻 S 盒 的 
输入 位 ， 可 使 单 轮 DES 输 出 相同 “4874 。Shamir 注 意 到 S 盒 的 输入 项 看 
起 来 具有 某 种 不 平衡 ， 但 这 种 不 平衡 并 不 导致 可 能 的 攻击 -1423」 (他 
提 到 了 第 5 个 S 盒 的 一 个 特性 ， 但 8 年 后 才 由 线性 分 析 证 明了 这 一 特 
HE) 。 其 他 的 研究 者 指出 ， 已 公开 的 设计 准则 可 以 用 来 产生 S 盒 1200! 





12.3.7 Hai 


还 发 表 了 一 些 DES 的 分 析 结 果 。 一 位 密码 学 家 研究 了 基于 频谱 测试 
的 非 随机 性 “559 。 另 外 一 些 密码 学 家 研究 过 DES 的 线性 因子 序列 ， 但 
攻击 在 第 8 轮 后 即 告 失 败 [129” 336、531] 。1987 年 ，Donald Davies 未 公 
布 的 攻击 ， 探 索 了 用 扩展 置换 重复 接 入 S 盒 的 方法 ， 这 种 攻击 也 在 8 轮 后 
失败 [172、429] 。 


1990 年 ，Eli Biham 和 Adi Shamir 提 出 了 差分 密码 分 析 (differential 
cryptanalysis) 【167、168、171、172」 。 这 是 个 新 的 密码 分 析 方 法 ， 在 此 之 
前 没有 公之于众 。 利 用 这 种 方法 ，Biham 和 Shamir 找 到 了 一 个 选择 明文 
的 DES 攻 击 方法 ， 该 方法 比 穷 举 攻击 有 效 。 


兰 分 密码 分 析 考 碍 那些 明文 有 特定 差分 的 密 文 对 。 当 明文 使 用 相同 
的 密 钥 加 密 时 ， 分 析 其 在 通过 DES 的 轮 扩散 时 差分 的 演变 。 


简单 地 ， 选 择 具 有 固定 差分 的 一 对 明文 。 这 两 个 明文 可 随机 选取 ， 
只 要 求 它们 符合 特定 的 差分 条 件 ， 密 码 分 析 者 甚至 不 必 知 道 它们 的 值 。 
(“差分 ”在 DES 中 定义 为 异 或 运算 。 不 同 算法 定义 不 同 。) 然后 ， 使 用 
输出 密 文中 的 差分 ， 按 照 不 同 的 概率 分 配给 不 同 的 密 钥 。 随 着 分 析 的 密 
文 对 越 来 越 多 ， 其 中 最 可 能 的 一 个 密 钥 将 显现 出 来 。 这 束 是 正确 的 密 
钥 。 





FAX) 


图 12-5 ”DES 轮 函数 


详细 的 过 程 比较 复杂 。 图 12-5 所 示 为 DES 的 轮 函 数 。 假 定 有 一 对 输 
入 X 和 X'， 它 们 的 差分 为 A， 则 输出 Y 和 YY' 也 是 已 知 的 ， 因 而 它们 也 有 
差分 为 AY。 扩 展 置 换 和 P 盒 都 是 已 知 的 ， 那 么 AA 和 AC 也 已 知 。 虽 然 B 
和 B' 是 未 知 的 ， 但 它们 的 差分 AB 等 于 AA。〔( 当 考查 差分 时 ，K; 与 A 和 A 
' 的 异 或 可 略 去 。) 到 目前 为 止 ， 一切 顺利 。 这 有 一 个 技巧 : 对 任意 给 
定 的 AA，AC 的 值 不 一 定 都 相同 。 将 AA 和 AC 联 合 起 来 ， 就 可 以 猜测 出 A 
异 或 K; RA RAK, 的 位 值 ， 因 为 A 和 A' 是 已 知 的 ， 所 以 可 推出 关于 Ki; 的 


=e 


Auto 





让 我 们 来 考查 DES 的 最 后 一 轮 〈 差 分 分 析 忽 略 了 初始 置换 和 末 置 
换 。 它 们 除了 使 DES 难 解释 外 ， 不 影响 对 DES 的 攻击 ) 。 如 果 能 确定 
Kie ， 那 么 就 能 知道 48 位 的 密 钥 〈 记 住 ， 每 一 轮 的 子 密 钥 由 56 位 密 钥 中 
的 48 位 构成 )。 其 余 的 8 位 可 通过 穷 举 攻击 得 到 。 人 至 此 ， 我 们 通过 差分 
分 析 就 可 以 得 到 Ki6 。 








明文 对 中 的 一 些 差 分 在 得 到 的 密 文 对 中 有 很 高 的 重 现 率 ， 这 些 差分 
就 叫做 特征 Ccharacteristic) 。 特 征 在 轮 数 上 得 以 扩充 ， 并 定义 了 一 
轮 间 路 径 。 对 茶 一 个 输入 差分 ， 每 一 轮 的 盈 分 及 最 终 的 输出 差分 之 间 部 
有 一 个 特定 的 概率 。 


可 以 通过 产生 这 样 一 个 表 来 找到 这 些 特征 : 行 表示 可 能 的 输入 异 或 


(两 个 不 同 输 入 位 集 的 寞 或 )》; 列表 示 可 能 的 输出 腊 或 ， 输 入 项 表示 对 
于 给 定 的 输入 寞 或 ， 产 生 特 定 输出 异 或 的 次 数 。 对 DES8 个 S 盒 的 每 一 
个 ， 都 可 以 产生 这 样 的 一 个 表 。 


例如 ， 图 12-6a 是 一 个 一 轮 的 特征 。 左 边 的 输入 差分 为 L， 它 可 以 是 
任意 的 ， 右 边 的 输入 差分 为 0〈 两 个 输入 的 右 半 部 分 相同 ， 所 以 差分 为 

。 因 为 轮 函数 没有 差分 输入 ， 所 以 它 没 有 输出 差分 。 因 此 ， 左 边 的 
输出 差分 为 L@0=L， 右 边 的 输出 差分 为 0。 这 是 一 个 平凡 特征 ， 其 概率 
为 1。 


图 12-6b 所 示 是 一 个 不 明显 的 特征 。 同 上 ， 左 边 的 输入 差分 为 任意 
值 L， 右 边 的 输入 差分 为 0x60000000。 两 个 输入 差分 仅 第 三 位 及 第 三 位 
不 同 。 轮 函数 的 输出 差分 为 L @0x00808200 的 概率 是 14 / 64。 这 意味 
着 ， 左 边 的 输出 差分 为 站 @0x00808200、 右 边 的 输出 差分 为 0x60000000 
的 概率 是 14 / 64。 


A=L 





X=60000000 
Y=00808200 


a) 概率 为 1 b) 概率 为 14/64 


图 12-6 DES 特征 


Aa 


A= 


X=60000000 
Y=00808200 


概率 为 14/64 


图 12-7 2 轮 DES 特 征 


A=X 


A=0 


A=0 





不 同 的 特征 可 以 结合 。 而 且 ， 假 定 轮 与 轮 之 间 是 独立 的 ， 那 么 轮 与 
轮 之 间 的 输出 概率 可 以 相 乘 。 图 12-7 将 前 面 介 绍 的 两 个 特征 结合 在 一 
起 。 左 边 的 输入 差分 为 0x00808200， 右 边 的 输入 差分 为 0x60000000。 第 
一 轮 结 束 时 ， 轮 函数 的 输入 差分 和 输出 差分 被 略 去 ， 使 得 其 输出 差分 为 
0。 这 个 值 输入 第 二 轮 运 算 。 最 后 ， 左 边 的 输出 差分 为 0x60000000， 碳 
边 的 输出 差分 为 0。 具 有 这 两 轮 运算 特征 的 可 能 性 为 14 / 64。 


满足 特征 的 明文 对 称 为 正确 对 (right pair) ， 不 满足 的 称 为 错误 对 
Cwrong pair) 。 正 确 对 将 可 以 猜测 正确 的 轮 密 钥 〈 对 特征 的 最 后 一 
轮 ) ， 错 误 对 猜测 的 轮 密 钥 是 随机 的 。 为 了 找到 正确 的 轮 密 铀 ， 只 需 收 
集 足 够 的 猜测 结果 ， 必 然 有 一 个 子 密 钥 被 猜 的 频率 大 于 其 他 的 猜测 结 
果 。 这 将 是 很 有 效 的 ， 正 确 的 子 密 钥 将 从 所 有 的 随机 候选 密 钥 中 浮现 出 
来 。 


因此 ， 对 一 个 n 轮 DES， 经 过 n 轮 的 基本 差分 攻击 ， 将 可 以 恢复 48 位 
子 密 钥 ， 剩 余 的 8 位 可 通过 穷 举 攻击 猜测 得 到 。 





还 有 一 些 值得 思考 的 问题 。 首 先 ， 你 要 达到 某 个 门限 ， 否 则 取得 成 
功 的 机 会 微乎其微 。 也 就 是 说 ， 即 使 你 计算 了 足够 多 的 数据 ， 你 也 不 能 
从 所 有 这 些 随 机 结果 中 确定 正确 的 子 密 钥 。 而 且 ， 这 种 攻击 并 不 实用 : 
你 必须 对 24 个 可 能 的 密 钥 ， 用 计数 器 来 统计 各 自 不 同 的 概率 ， 要 完成 
这 个 工作 ， 需 要 的 数据 量 太 大 。 


基于 上 述 这 点 ，Biham 和 Shamir 改 变 了 他 们 的 攻击 。 对 16 轮 的 
DES， 他 们 使 用 了 13 轮 特征 ， 而 不 是 15 轮 特征 ， 并 使 用 一 些 技巧 来 得 到 
后 几 轮 的 特征 。 具 有 高 概率 的 短 特征 ， 攻 击 效果 更 好 。 而 且 ， 他 们 使 用 
了 一 些 技巧 方法 来 得 到 56 位 的 候选 密 钥 ， 这 些 密 钥 可 以 立即 被 检测 ， 从 
而 省 略 了 计数 器 的 使 用 。 一 旦 找到 正确 对 ， 这 种 攻击 就 取得 了 成 功 ， 它 
避 开 了 门限 和 给 定 的 线性 成 功率 的 问题 。 如 果 所 选择 的 对 小 于 所 需 对 的 
1000 倍 ， 那 么 攻击 的 成 功率 也 将 减 小 1000 倍 。 这 听 起 来 很 可 怕 ， 但 比 门 
限 问题 要 好 一 些 。 它 总 存在 一 定 的 立即 成 功 的 机 会 。 











这 个 结论 很 有 意义 。 表 12-14 所 示 为 对 不 同 轮 数 的 DES 进 行 攻击 的 
最 佳 差分 分 析 的 一 个 总 结 [1724 。 第 一 列表 示 轮 数 ， 紧 接着 的 两 列 为 攻 
击 上 必须 检 测 的 选择 明文 或 已 知 明文 个 数 ， 第 四 列 为 实际 分 析 的 明文 数 
目 ， 最 后 一 列 是 找到 需要 明文 的 分 析 复 杂 性 。 


表 12-14 DES 的 差分 密码 分 析 攻 击 


轮 数 选择 明文 已 知 明文 实际 分 析 明 文 分 析 的 复杂 性 
914 938 99 





1 





注 : * 通 过 使 用 团 的 方法 ， 对 4 倍 的 明文 进行 分 析 ， 分 析 的 复杂 性 能 
大 幅度 地 降低 。 


对 一 个 完整 的 16 轮 DES 的 最 佳 攻击 需要 24' 个 选择 明文 ， 也 可 转换 
为 已 知 明文 攻击 ， 但 将 需要 255 个 已 知 明 文 ， 而 且 在 分 析 过 程 中 要 经 过 
237 次 DES 运 算 。 








差分 分 析 的 攻击 方法 是 针对 DES 和 其 他 类 似 有 固定 S 盒 的 算法 。 它 
极 大 地 依赖 于 S 盒 的 结构 。DES 的 S 盒 恰好 最 适宜 于 抗 差分 分 析 。 而 且 ， 
对 DES 的 任何 一 种 工作 方式 (ECB、CBC、CFB 和 OFB) ， 差 分 分 析 攻 
击 具有 相同 的 复杂 性 。 





通过 增加 迭代 的 次 数 可 改善 DES 抗 差分 分 析 的 性 能 。 对 17 轮 或 18 轮 
DES 的 差分 分 析 〈 选 择 明文 ) 所 需要 的 时 间 与 穷 举 搜索 的 时 间 大 致 相等 
L160] 。 轮 数 为 19 或 更 多 时 ， 采 用 差分 分 析 将 是 不 可 能 的 ， 因 为 那 将 需 
要 264 个 选择 明文 : 记 住 DES 的 分 组 大 小 为 64 位 ， 因 而 它 最 多 有 284 可 能 
的 明文 分 组 (通常 ， 对 某 算法 通过 演示 出 完成 攻击 所 需 的 明文 数量 大 于 
可 能 的 明文 数量 ， 就 可 以 证 明 该 算法 对 差分 分 析 有 抵抗 性 ) 。 














这 里 有 几 个 要 点 。 衣 先 ， 差 分 分 析 主 要 是 理论 上 的 。 差 分 分 析 所 要 
求 的 巨大 时 间 量 和 数据 量 几 乎 超过 了 每 个 人 的 承受 能 力 。 为 了 获得 差分 
分 析 所 不 可 少 的 数据 ， 你 必须 对 选择 明文 的 速度 为 1.5Mb/s 的 数据 序列 
加 密 3 年 。 其 次 ， 这 首先 是 一 种 选择 明文 攻击 。 关 分 分 析 也 可 以 进行 已 











知 明文 攻击 ， 但 为 了 得 到 有 用 的 明文 - 密 文 对 ， 必 须 所 有 的 明文 - 密 文 对 
进行 第 选 。 对 于 16 轮 DES 来 说 ， 这 使 得 穷 举 攻击 甚至 比 差分 分 析 攻 击 有 
效 一 点 〈 差 分 分 析 攻 击 需 2 次 运算 ， 而 穷 举 攻击 需 2” 次 运算 ) 。 对 
此 一 致 认 为 ， 如 宁 DES 能 够 正确 地 实现 ， 那 么 它 对 兰 分 分 析 仍然 是 安全 
的 。 


为 什么 DES 能 如 此 抗 差分 分 析 ? 为 什么 S 盒 被 优化 使 得 差分 分 析 变 
得 尽 可 能 困难 ?为 什么 DES 有 抗 差 分 分 析 所 要 求 的 那么 多 轮 数 ， 但 又 为 
什么 不 采用 更 多 的 轮 数 ? 原因 在 于 设计 者 知道 差分 分 析 。 最 近 ，IBM 的 
Don Coppersmith 在 [373、374] 中 写 道 : 


设计 者 运用 了 一 些 密码 分 析 学 的 技术 ， 其 中 最 主要 的 技术 是 差分 密 
码 分 析 技 术 ， 这 在 公开 的 文献 上 未 报道 过 。 我 们 同 NSA 讨 论 后 ， 认 为 公 
布 我 们 的 设计 思路 ， 束 将 暴露 差分 分 析 技 术 ， 而 这 是 一 个 可 以 攻击 许多 
密码 的 强 有 力 的 技术 ， 这 必然 会 前 轮 美 国 在 密码 学 领域 与 其 他 国家 的 苋 
和 争 优势 。 





Adi Shamir 对 此 做 出 反应 ， 他 质问 Coppersmith 说 ， 目 那 以 后 他 怎么 
没有 发 现 更 强 的 攻击 DES 的 方法 ? XER, Coppersmith% Y VSA 
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12.4.2 ”相关 密 钥 密码 分 析 


表 12-3 给 出 了 每 轮 后 DES 密 钥 的 环 移 位 数 : 除了 在 1、2、9、16 轮 
后 左 移 1 位 外 ， 其 余 的 都 左 移 ?2 位。 这 是 为 什么 昵 ? 





相关 密 钥 密码 分 析 Crelated-key cryptanalysis) 类 似 于 差分 分 析 ， 
但 它 考查 不 同 密 钥 间 的 差分 ， 这 种 攻击 不 同 于 以 前 所 讨论 的 任何 攻击 方 
法 : 密码 分 析 者 选择 的 是 密 钥 对 间 的 关系 ， 而 不 是 密 钥 本 身 。 数 据 由 两 
个 密 钥 加 密 。 在 已 知 明文 的 相关 密 钥 攻击 中 ， 密 码 分 析 者 知道 明文 和 用 
这 种 密 钥 加 密 的 密 文 ， 在 选择 明文 的 相关 密 钥 攻击 中 ， 密 码 分 析 者 选择 
明文 ， 并 用 这 两 个 密 钥 加 密 。 








若 DES 修 改 成 其 密 钥 在 每 轮 后 环 移 两 位 ， 它 的 安全 性 就 会 降低 。 相 
关 密 钥 分 析 能 用 217 个 选择 密 钥 选 择 明文 或 23 个 选择 密 钥 已 知 明文 破译 
DES 的 这 种 变型 [158、163] | 





相关 密 钥 攻 击 一 点 也 不 实用 ， 但 它 有 三 个 方面 的 意义 : 第 一 ， 它 是 
第 一 个 攻击 DES 子 密 钥 产生 算法 的 密码 分 析 方 法 ， 第 二 ， 此 攻击 方法 与 
密码 算法 轮 数 无 关 ， 它 对 16 轮 、32 轮 或 1000 轮 DES 同 样 有 效 ， 第 三 ， 此 
攻击 方法 对 DES 无 影响 。DES 密 钥 的 环 移 变 化 阻止 了 相关 密 钥 分 析 的 影 
响 。 


12.4.3 ”线性 密码 分 析 


线性 密码 分 析 (linear cryptanalysis) 是 Mitsuru Matsui 提 出 的 另 一 


种 密码 分 析 攻 击 方法 (1016, 1015, 1017] 。 这 种 攻击 使 用 线性 近似 值 来 描 
述 分 组 密码 (这 里 指 DES) 的 操作 。 


这 意味 着 ， 如 果 你 将 明文 的 一 些 位 、 密 文 的 一 些 位 分 别 进行 异 或 运 
算 ， 然 后 再 将 这 两 个 结果 异 或 ， 那 么 你 将 得 到 一 位 ， 这 一 位 是 将 密 钥 的 
一 些 位 进行 异 或 运算 的 结果 。 这 束 是 概率 为 p 的 线性 近似 值 。 如 果 pz1 / 
2， 那 么 就 可 以 使 用 该 侦 兰 ， 用 得 到 的 明文 和 对 应 的 密 文 来 猜测 密 钥 的 
位 值 。 得 到 的 数据 越 多 ， 猜 测 越 可 徘 。 偏 差 越 大 ， 用 同样 数据 量 的 成 功 








如 何 确定 DES 的 一 个 好 的 线性 通 近 呢 ? 找到 好 的 1 轮 线性 逼近 ， 再 
将 它们 组 合 在 一 起 〔 同 差分 分 析 一 样 ， 忽 略 初 始 置 换 和 末 置 换 ， 因 为 它 
们 不 影响 线性 分 析 攻 击 的 效果 ) 。 再 来 考察 S 盒 。 它 是 6 位 输入 ，4 位 输 
出 ， 因 而 输入 位 的 组 合 异 或 运算 有 《28 -1) =63 种 有 效 方式 ， 输 出 位 有 
15 种 有 效 方式 。 那 么 现在 ， 对 每 一 个 S 盒 的 随机 选择 输入 ， 你 都 能 计算 
输入 的 组 合 异 或 等 于 茶 个 输出 组 合 寞 或 的 可 能 性 。 如 采 某 个 组 合 具 有 中 
WS ea TAPE, ALA BE PE oD AT at AY HE PKB To 


如 果 线 性 逼近 无 偏 同 性 ， 那 么 它 可 能 有 64 种 可 能 输入 中 的 32 种 。 我 
将 不 再 用 表格 和 纸张 来 描述 它 ， 但 最 大 仿 兰 的 S 盒 是 $ 例 5。 实 际 上 ， 对 
只 有 12 个 输入 的 S 盒 ， 第 2 个 输入 位 等 于 它 所 有 4 个 输出 位 的 组 合 异 或 。 
该 转换 的 可 能 性 为 3 / 16， 或 概率 为 5 / 16， 这 也 是 所 有 S 盒 的 最 大 概率 
值 (Shamir 在 文献 [1423] 中 提 到 了 这 点 ， 但 没有 找到 实施 方法 ) 。 
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图 12-8 DES 的 1 轮 线性 逼近 


图 12-8 显 示 了 如 何 对 DES 的 轮 函 数 进行 线性 攻击 。S 盒 5 的 输入 位 是 


bog 〈 按 照 从 堪 到 右 ， 从 1 到 64 的 顺序 对 位 计数 。Matsui 忽 略 DES 的 这 种 
惯例 ， 而 是 按照 从 右 往 左 ， 从 0 到 63 的 顺序 计数 。 一 定 要 分 清楚 ) 。S 盒 
5 的 4 个 输出 位 是 cj; 、cis。 » Cag 及 cy 。 我 们 向 后 追溯 到 S 盒 的 输入 端 来 

追踪 bye 的 踪迹 。a6 SF RIK, o 中 的 一 位 异 或 ， 得 到 bu。 。 而 位 Xi， 
通过 扩展 置换 得 到 ae 。 经 过 S 盒 运算 后 的 4 位 输出 ， 通 过 P 售 运算 成 为 轮 
函数 的 4 位 输出 : Yas Yq» Ya RY 。 这 意味 着 下 式 成 立 的 可 能 性 为 1 
/2~5/ 16: 


X17 BY3 OY DY 14 PY 05 =K;, 2 





不 同 轮 的 线性 分 析 可 采用 差分 分 析 中 讨论 过 的 类 似 的 组 合 方式 。 图 
12-9 所 示 是 一 个 可 能 性 为 1 / 2+.0061 的 3 轮 线性 分 析 。 每 轮 的 逼近 性 是 变 
化 的 : 最 后 一 轮 非 常 好 ， 第 一 轮 较 好 ， 中 间 一 轮 差 。 但 将 这 3 个 1 轮 的 通 
近 组 合 起 来 ， 显 示 了 一 个 非常 好 的 3 轮 的 逼近 性 。 


大 -126 


Kj,126 





A=[3,8,14,25| B=[8,14,25] 


概率 为 1/2+6.1 x 10° 


图 12-9 DES 的 3 轮 线性 逼近 





对 16 轮 DES 采 取 最 佳 线性 逼近 分 析 的 基本 攻击 ， 需 要 24' 个 已 知 明 
文 分 组 才能 得 到 1 个 密 钥 位 ， 这 将 不 太 有 用 。 如 果 将 明文 和 密 文 互 换 ， 
即 加 密 又 解密 ， 就 可 得 到 2 密 钥 位 ， 但 这 仍然 不 太 有 用 。 








有 一 个 改进 方法 。 对 2 一 15 轮 采用 一 个 14 轮 的 线性 盘 近 分 机。 对 S 盒 
的 第 一 轮 和 最 后 一 轮 〈 总 共有 12 密 钥 位 ) ， 猜 测 其 相关 的 6 位 子 密 钥 。 
并 行 地 进行 2” 次 线性 分 析 ， 挑 选 具有 一 定 概 率 的 正确 密 钥 位 ， 是 很 有 
效 的 方法 。 通 过 这 种 方式 得 到 12 位 加 上 be ， 幅 倒 明 文 和 密 文 可 得 到 男 
外 13 位 ， 再 用 穷 举 搜索 法 得 到 剩余 的 30 位 。 其 中 有 一 些 技巧 ， 但 不 是 必 


mi Ho 











攻击 完整 的 16 轮 DES， 当 已 知 明文 的 平均 数 为 24 时 ， 线 性 分 析 攻 
击 可 得 到 密 钥 。 在 12 台 HP9000 / 735 工 作 站 上 完成 这 种 攻击 的 软件 实 
现 ， 花 费 了 50 天 时 间 (1019) 。 到 目前 为 止 ， 它 还 是 最 有 效 的 攻击 DES 
的 方法 。 


线性 分 析 极 大 地 依赖 于 S 盒 的 结构 ， 而 DES 的 S 盒 对 线性 分 析 来 说 不 
是 最 合适 的 。 事 实 上，DES 选 择 的 S 盒 的 阶 数 只 有 9%% 一 16%， 只 有 具有 极 
小 的 抗 线性 分 析 的 能 力 “10184 。 按 照 Don Coppersmith 的 说 法 ， 抗 线性 
分 析 “ 不 属于 DES 标 准 的 设计 范畴 ”。 他 们 或 许 不 知道 线性 分 析 ， 或 者 了 
解 更 有 效 、 更 高 级 的 对 抗 $ 盒 准则 的 方法 。 


线性 分 析 比 差分 分 析 新 ， 在 未 来 的 几 年 内 ， 它 的 性 能 将 会 得 到 更 多 
的 改进 。 文 献 [1270、811」 中 提出 了 一 些 建议 ， 但 不 清楚 对 完整 的 
DES 攻 击 是 否 有 效 。 然 而 ， 对 轮 数 减少 的 DES 变 型 ， 这 些 方法 很 有 效 。 








12.4.4 AKAN E 


将 差分 分 析 的 内 涵 延 伸 到 高 阶 差 分 分 析 的 工作 已 经 有 人 在 做 了 
(702. 161, 927. 858. 860] ，Lars Knudsen 采 用 一 种 称 为 部 分 差分 分 析 的 方 
法 攻击 6 轮 的 DES， 它 需要 32 个 选择 明文 和 2 万 个 加 密 数 据 -860」 。 这 种 
扩展 方法 太 新 ， 因 而 还 不 清楚 它 对 完整 的 16 轮 DES 攻 击 是 否 要 容易 些 。 


另 一 种 方法 是 差分 -线性 分 析 (differential-linear cryptanalysis) , BẸ 
将 差分 分 析 和 线性 分 析 结 合 起 来 。Susan Langford 和 Hellman 对 一 个 8 轮 
DES 进 行 攻击 ， 选 择 明 文 数 为 512 时 ， 恢 复 10 密 钥 位 的 可 能 性 为 80%; 
选择 明文 数 为 768 时 ， 恢 复 10 密 钥 位 的 可 能 性 为 95% 。 在 上 述 攻 击 进行 
后 ， 再 采用 穷 举 搜索 得 到 剩余 的 密 钥 空间 〈24 个 可 能 密 钥 ) 。 这 种 攻 
击 不 仅 在 时 间 上 与 前 面 介绍 的 攻击 有 可 比 性 ， 而 且 需 要 的 明文 数目 少 得 
多 。 然 而 ， 对 更 多 轮 数 的 DES， 这 种 扩展 似乎 也 不 易 实现 。 





因为 这 种 攻击 技术 还 是 比较 新 的 ， 而 且 这 方面 的 工作 还 在 进行 中 。 
也 许 ， 在 不 久 的 将 来 束 会 在 这 方面 取得 突破 。 也 许 将 来 蜗 阶 差分 分 析 会 
更 有 用 。 谁 能 知道 呢 ? 








12.5 实际 设计 准则 
在 差分 分 析 公 开 后 ，IBM 公 布 了 S 盒 和 P 盒 的 设计 准则 1373 9741 。 
S 盒 的 设计 准则 是 : 


-每 个 S 盒 均 为 6 位 输入 ，4 位 输出 。《〈 这 是 在 1974 年 的 技术 条 件 下 ， 
单个 芯片 所 能 容纳 的 最 大 尺寸 。) 


-没有 一 个 S 盒 的 输出 位 是 接近 输入 位 的 线性 函数 。 


:如 宁 将 输入 位 的 最 左 及 最 右 端的 位 固定 ， 变 化 中 间 的 4 位 ， 那 么 每 


个 可 能 的 4 位 输出 只 能 得 到 一 次 。 


-如果 S 盒 的 两 个 输入 仅 有 1 位 的 差异 ， 则 其 输出 至 少 必 须 有 2 位 不 








如果 S 例 的 两 个 输入 仅 有 中 间 2 位 不 同 ， 则 其 输出 至 少 必须 有 2 位 不 


:如 果 S 盒 的 两 个 输入 前 2 位 不 同 ， 后 2 位 已 知 ， 则 其 输出 必 不 同 。 


:对 于 输入 之 间 的 任何 非 零 的 6 位 差分 ，32 对 中 至 多 有 8 对 显示 出 的 
差分 导致 了 相同 的 输出 差分 。 





-类似 于 前 一 个 准则 ， 但 是 针对 三 个 有 效 的 S 盒 。 


P 盒 的 设计 准则 是 : 


-在 第 轮 5 例 的 4 位 输出 中 ，2 位 将 影响 5 盒 第 i+1 轮 的 中 间 位 ， 其 余 2 


位 将 影响 最 后 位 。 





每 个 盒 的 4 位 输出 影响 6 个 不 同 的 S 盒 ， 但 没有 两 个 影响 同一 个 S 
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-如果 一 个 S 盒 的 4 位 输出 影响 另 一 个 S 盒 的 中 间 1 位 ， 那 么 后 一 个 输 


出 位 不 会 影响 前 一 个 S 盒 的 中 间 1 位 。 








本 书 将 继续 讨论 该 准则 。 在 今天 看 来 ， 产 生 S 盒 非常 容易 ， 但 20 世 
纪 70 年 代 初 ， 这 是 一 个 很 复杂 的 工作 。Tuchman 曾 经 引述 说 ， 他 们 当时 
将 计算 机 程序 运行 几 个 月 来 产生 $S 盒 。 








12.6 DES 的 各 种 变型 
12.6.1 多 重 DES 
某 些 DES 实 现 采 用 了 三 重 DES ( 见 图 12-10) |! 。 因 为 DES 不 是 


一 个 群 ， 所 以 得 到 的 密 文 更 难 用 穷 举 搜索 破译 DES 需 要 2 KA, 


而 不 是 2” 次 。 详 细 描述 见 15.2 节 。 





图 12-10 三 重 DES 


12.6.2 ”使 用 独立 子 密 钥 的 DES 


另 一 个 DES 变 型 是 每 轮 都 使 用 不 同 的 子 密 铀 ， 而 不 是 由 单个 的 56 位 
密 钥 来 产生 [851] 。 因 为 16 轮 的 每 轮 都 需要 48 密 钥 位 ， 这 就 意味 着 这 种 


变型 的 密 钥 长 度 为 768 位 。 这 种 变形 将 极 大 地 增加 穷 举 攻击 算法 的 难 
度 。 这 种 攻击 的 复杂 性 将 达到 2768 。 





但 是 中 间 相 遇 攻 击 〈 人 参见 15.1 节 ) 还 是 可 能 的 ， 攻 击 的 复杂 性 将 降 
低 到 2334 ， 这 对 任何 考虑 到 的 安全 性 需求 来 说 还 是 足够 长 的 。 








尽管 独立 子 密 钥 对 线性 密码 分 析 不 敏感 ， 但 这 种 变型 对 差分 分 析 很 
敏感 ， 而 且 可 以 用 261 个 选择 明文 破译 ( 见 表 12-15) H67 172」 。 这 表 
明 对 密 钥 编排 的 改动 并 不 能 使 DES 变 得 更 安全 。 





126:3 DESA 


DESX 是 RSA 数 据 安 全 公司 提出 的 DES 的 一 种 变型 。 自 1986 年 以 来 
的 MailSafe 电 子 邮件 安全 程序 及 自 1987 以 来 的 BSAFE 工 具 包 版 本 都 包含 
了 DESX。DESX 采 用 一 种 称 为 随机 化 的 技术 ( 见 15.6 节 〉 来 掩 产 DES 的 
输入 及 输出 。 除 了 有 DES 的 56 位 密 钥 外 ，DESX 还 有 附加 的 64 位 随机 密 
钥 。 这 64 位 随机 密 钥 在 DES 的 第 一 轮 之 前 与 明文 异 或 。 附 加 的 64 位 密 钥 
通过 一 个 单 向 函数 合成 为 120 位 的 DES 密 钥 ， 并 与 最 后 一 轮 输出 的 密 文 
异 或 [155」 。DESX 的 随机 技术 使 它 比 DES 抗 穷 举 攻 击 的 能 力 更 强 。 在 
有 n 个 已 知 明文 的 情况 下 ， 对 DESX 的 攻击 需要 做 〈2120 ) / n 次 运算 。 
同时 ，DESX 的 随机 化 技术 也 提高 了 抗 线性 分 析 和 差分 分 析 的 安全 能 
力 ， 它 们 分 别 需要 261 个 选择 明文 和 260 个 已 知 明文 [1338] 。 








12.6.4 CRYPT (3) 


CRYPT 3) 是 应 用 在 UNIX 系 统 上 的 DES 变 型 。 它 主要 用 作对 口令 
的 单 向 函数 ， 有 时 也 用 来 加 密 。CRYPT (3) 与 DES 的 区 别 在 于 
CRYPT (3) 的 扩展 置换 是 与 密 钥 相 关 的 ， 而 且 有 2** 种 可 能 的 置换 。 
这 样 做 的 原因 主要 是 为 了 使 DES 芯 片 能 用 来 构造 硬件 的 口令 破译 。 





12.0.59 GDES 


GDES (通用 DES) 是 为 了 提高 DES 的 速度 及 算法 的 强度 而 设计 的 
(1381, 1382] 。 总 的 分 组 长 度 增加 了 ， 但 总 的 计算 量 保 持 不 变 。 





图 12-11 GDES 


图 12-11 是 GDES 的 分 组 框图 。GDES 对 不 同 长 度 的 明文 分 组 操作 ， 
加 密 分 组 被 分 成 4 个 32 位 的 子 分 组 ， 子 分 组 的 确切 数目 依赖 于 整个 分 组 
的 长 度 〈 在 这 个 设计 中 它 是 可 变 的 ， 但 在 实现 时 都 必须 固定 ) 。 一 般 
地 ，q 等 于 分 组 长 度 除 以 32。 





函数 人 每 轮 在 最 右 端的 分 组 上 计算 一 次 ， 其 结果 与 其 他 的 所 有 部 分 
相 异 或 ， 异 或 的 结果 再 循环 右 移 。GDES 的 轮 数 n 是 变化 的 。 在 最 后 一 轮 
稍 有 不 同 ， 使 得 加 密 和 解密 过 程 仅 在 子 密 钥 的 次 序 上 有 所 不 同 ( 束 像 
DES 一 样 ) 。 事 实 上 ， 当 q=2，n=16 时 ， 它 就 是 DES。 





Biham 和 Shamir ‘17> 1681 证 明 ， 使 用 差分 分 析 破译 q=8 且 n=16 的 
GDES 仅 需 6 个 选择 明文 。 如 果 使 用 独立 子 密 钥 ， 它 也 只 需要 16 个 已 知 明 
X; gd=8 且 n=22 的 GDES 可 以 由 48 个 选择 明文 破译 ， 而 g=8 且 n=31 的 
GDES 也 仅 需 要 50 万 个 选择 明文 就 能 破译 ;gq=8 且 n=64 的 GDES 需 要 2 
个 已 知 明文 才能 破译 ， 它 还 是 比 DES 弱 。 事 实 上 ， 比 DES 快 的 任何 
GDES 同 时 也 就 比 它 不 安全 〔( 见 表 12-15) 。 





近来 也 出 现 了 GDES 设 计 的 变型 [1531」 。 它 可 能 比 原来 的 GDES 更 
不 安 人 全。 通常， 比 DES 快 的 任何 大 的 DES 的 变型 同时 也 就 比 它 不 安全 。 


12.6.6 ”更 换 S 盒 的 DES 


DES 的 其 他 一 些 改变 集中 在 S 盒 上 。 在 某 些 设计 中 ，S 盒 的 次 序 是 变 





化 的 。 还 有 些 设 计 得 使 5 盒 的 内 容 本 里 是 可 变 的 。Biham 和 Shamir 证 明 ， 
S 盒 的 设计 ， 甚 至 S 盒 自身 的 内 容 抗 差 分 分 析 也 是 最 优 的 170 171] : 








8 个 DES 的 S 盒 次 序 的 改变 〈 并 不 改变 S 盒 的 值 ) 仍 使 得 DES 变 弱 许 
Z: S 盒 为 某 一 特定 次 序 的 16 轮 DES 能 用 大 约 238 步 破译 ..…. 已 经 证 明 ， 
采用 随机 S 盒 的 DES 很 容易 破译 。 即 使 是 DES 的 一 个 S 盒 的 数字 最 小 的 改 
变 ， 也 会 导致 DES 易 于 破译 。 


DES 的 $S 盒 抗 线性 分 析 不 是 最 优 的。 可 能 存在 比 DES 的 S 盒 抗 线性 分 
析 性 能 更 好 的 S 盒 ， 但 盲目 地 选择 新 的 S 盒 并 不 是 一 个 好 主意 。 


表 12-15 列 举 出 了 对 DES 的 一 些 改 变 及 差分 分 析 攻 击 所 需要 的 选择 
明文 数目 。 有 一 种 改变 未 被 列 入 表 中 ， 即 将 左 半 部 分 和 右 半 部 分 先 做 加 
法 运算 ， 得 到 的 和 再 做 模 24 运算 ， 而 不 做 异 或 运算 ， 这 种 改变 后 的 DES 
的 破译 比 以 前 困难 27 倍 [689」 。 


#212-15 ”对 DES 变 型 的 差分 攻击 


变型 运算 选择 明文 





完整 DES (无 变型 ) 247 

P 置换 不 能 变 强 
恒 等 置 换 oe 

改变 S 盒 顺序 238 

用 加 法 取代 蜡 或 

S fi: 
随机 218 ~ 22 
随机 置换 233 一 241 
改变 一 项 255 
均匀 表 

去 掉 下 扩散 

改变 和 子 密码 异 或 的 次 序 244 

GDES (q=8) 
16 轮 6, 16 
64 轮 24 (独立 密 钥 ) 


12.6.7 RDES 





RDES 是 在 每 一 轮 结束 时 用 相关 密 钥 交换 取代 左 、 右 两 部 分 交换 的 
一 种 变型 L893] 。 这 种 交换 是 固定 的 ， 只 依赖 于 密 钥 。 这 意味 着 ，15 个 
相关 密 钥 的 交换 可 产生 2* 个 可 能 的 样 例 。RDES 有 大 量 的 弱 密 钥 ， 故 对 
差分 分 析 没 有 抵抗 性 [816 894 121 。 事 实 上 ， 几 乎 所 有 的 RDES 密 铀 
都 弱 于 典型 的 DES 密 铀 ， 所 以 这 种 变型 不 应 被 采用 。 





更 好 的 一 种 想法 是 在 每 一 轮 的 开始 ， 仅 对 右 半 部 分 进行 交换 。 另 一 
种 好 的 思路 是 使 交换 依赖 于 输入 数据 ， 而 不 是 一 个 密 钥 的 静态 函数 。 文 
HK [813、815] 中 介绍 了 RDES 变 型 : RDES-1， 在 每 一 轮 的 开始 ， 对 16 
位 的 字 进 行 相关 数据 交换 ， RDES-2， 在 每 一 轮 开 始 ， 经 过 类 似 RDES-1 


中 16 位 的 字 相 关 数 据 交 换 后 ， 再 进行 字 节 交换 ， 以 此 类 推 ， 直 到 RDES- 
4。RDES-1 是 抗 线性 和 差分 分 析 的 ， 故 可 推测 RDES-2 及 更 高 阶 也 如 
此 。 


12.6.8 sn DES 


由 Kwangjo Kim 领 导 的 韩国 研究 小 组 ， 曾 经 尝试 寻找 一 组 S 盒 ， 使 

它 更 具有 抗 线 性 和 差分 分 析 的 最 优 性 能 。 他 们 首先 探索 了 称 为 s* DESH 
方法 ， 文 献 [834] 中 有 这 方面 的 介绍 。 已 证 明 这 种 方法 产生 的 S 盒 在 抗 
差分 分 析 方 面 比 原 DES 更 差 [855、858」 。 他 们 探索 下 一 个 称 为 9 DESH 
方法 ， 文 献 [839] 中 有 介绍 ， 这 种 方法 在 抗 线性 分 析 方 面 也 比 原 DES 
其 [856、1491、1527、858、838] ` Biham 建 议 做 一 个 小 的 改动 ， 使 S3 DESEE 
抗 线性 分 析 ， 又 抗 差分 分 析 H. E ARA A PE BE E oF 
的 S 盒 设计 技术 ， 并 提出 了 s4DES [836] ， 后 又 提出 了 s5 DES [838， 


944] ， 








4212-1628 HH Js? DES 的 S 盒 的 逆序 S 盒 1 和 S 盒 2， 这 种 $: DES 的 S 盒 
既 抗 线性 分 析 又 抗 差分 分 析 。 把 这 样 的 S 盒 用 在 3 重 DES 中 就 可 保证 使 密 
码 分 析 变 得 更 加 困难 。 


表 12-16 s? DES 的 S 盒 〈 包 括 逆序 S 盒 1 和 S 盒 2 ) 


13 14 
8 2 
14 9 
1 | 
S2 
15 8 
6 15 
9 14 
10 5 
S& 3 
13 3 
4 13 
6 5 
1 Ld 
SRA 
9 0 
5 10 
10 7 
3 9 
SAS 
5 15 
6 9 
15 0 
12 5 
S86 
4 3 
14 13 
13 0 
1 7 
S&7 
4 10 
10 15 
2 12 
12 6 
S& 8 
13 10 
2 7 
4 13 
8 11 
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14 


on 


11 


12 


15 
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10 


ou 


14 
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ll 


nN CO CO WW 
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9 


10 
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14 
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11 


12 


to O o 
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12.6.9 ”使 用 相关 密 钥 S 盒 的 DES 


无 论 线性 分 析 或 差分 分 析 都 仅 在 已 知 5 盒 结构 的 情况 下 有 效 。 如 果 S 
与 密 钥 有 关 ， 且 是 通过 强 密码 方法 选择 构成 的 ， 那 么 线性 分 析 或 差分 
} 析 将 更 困难 。 记 住 ， 随 机 产生 的 S 盒 的 差分 及 线性 特征 都 很 弱 ， 即 使 S 
是 保密 的 。 


Eup 


> 


Eup 


下 面 介 绍 用 48 位 的 附加 密 钥 产生 S 盒 的 方法 ， 该 方法 产生 的 S 盒 既 抗 
线性 分 析 ， 又 抗 差分 分 析 [165] 。 

(1) 重 排 DES 的 S 盒 的 次 序 : 24673158. 

(2) 从 48 密 钥 位 中 选 出 16 位 。 在 这 16 位 中 ， 如 第 一 位 为 1， 将 DES 
的 第 一 个 S 盒 的 前 两 行 与 后 两 行 交 换 。 如 第 二 位 为 1， 将 DES 的 第 一 个 $ 
盒 的 前 8 列 与 后 8 列 交换 。 根 据 第 3 位 、 第 4 位 的 取 值 ， 按 上 述 方法 处 理 


DES 的 第 二 个 S 盒 。 并 以 此 类 推 处 理 DES 的 第 3 一 第 8 个 S 盒 。 





(3) 取出 剩余 的 32 位 。 前 4 位 异 或 DES 的 第 一 个 S 盒 的 每 一 项 ， 第 
二 个 4 位 异 或 DES 的 第 二 个 S 盒 的 每 一 项 ， 以 此 类 推 处 理 所 有 DES 的 S 


-人 个- 


Tt 
ITIL © 





攻击 这 种 系统 的 复杂 性 ， 差 分 分 析 是 2 、 线 性 分 析 是 223 . KR 


mien 3 


这 种 DES 变 型 能 用 现 有 的 硬件 实现 。 有 些 DES 心 片 丙 出 售 的 DES 心 
片 可 加 载 S 盒 。 这 就 使 得 S 盒 的 产生 可 在 片 外 进行 ， 然 后 再 把 它 加 载 到 必 
片 内 。 关 分 分 析 和 线性 分 析 都 需要 很 多 已 知 明文 或 选择 明文 ， 售 则 对 
DES 不 能 攻击 ， 而 穷 举 攻击 的 时 间 复 杂 性 是 不 可 思议 的 。 


12.7 DESHI WIAA TE 


这 个 问题 回答 起 来 既 容易 又 困难 。 如 果 仅 考察 密 钥 长 度 〈 见 7.1 
市 ) ， 则 容易 回答 。1993 年 ， 仅 花费 100 万 美元 建造 的 穷 举 DES 破 译 机 
L1597、1598」 平均 3.5 小 时 就 能 找到 一 个 密 铀 。DES 的 应 用 如 此 广泛 ， 所 
以 要 想 阻止 NSA 和 他 的 伙伴 不 制造 穷 举 DES 破 译 机 真是 太 天 真 了 。 请 记 
住 ， 这 种 机 器 的 造价 以 每 10 年 下 跌 20% 的 速度 下 降 。 随 着 时 间 的 推移 ， 
DES 只 会 更 加 不 安全 。 


密码 分 析 技术 的 评估 是 比较 难 的 。20 世 纪 70 年 代 中 期 以 前 ， 当 DES 
第 一 次 成 为 标准 时 ，NSA 就 掌握 了 差分 分 析 技 术 。NSA 的 理论 家 自 那 以 
后 就 无 所 事 事 。 这 自然 是 不 可 能 的 ， 几 乎 可 以 肯定 ， 他 们 研究 出 了 新 的 
密码 分 析 技 术 ， 并 且 这 种 新 技术 可 用 来 攻击 DES。 但 没有 证 据 ， 只 能 作 
为 传闻 。 


Winn Schwartau 曾 说 过 ，NSA 早 在 20 世 纪 80 年 代 中 期 就 建造 了 一 台 
巨大 的 并 行 工作 的 DES 破 译 机 [14044 。 最 终 ，Harris 公 司 用 Cray Y-MP 
作为 前 端 ， 建 造 了 这 样 一 台 机 器 。 假 设 有 一 组 算法 可 将 DES 穷 举 搜索 的 
复杂 性 减 小 几 个 数量 级 。 基 于 DES 内 部 工作 方式 的 上 下 文 算法 ， 将 可 能 
的 密 钥 分 成 小 的 密 钥 集 ， 再 进行 每 个 密 钥 集 的 部 分 处 理 。 统 计算 法 减 小 
了 有 效 密 钥 的 大 小 。 男 外 的 算法 选择 可 能 的 密 钥 ( 字 、 可 输出 的 ASCII 





码 等 〈 见 8.1 节 ) ) 来 测试 。 有 传闻 说 ，NSA 能 在 3 一 5 分 钟 内 破译 DES， 
具体 的 时 间 依 赖 于 他 们 采用 了 多 大 的 数据 处 理 量 ， 而 且 这 种 机 器 每 台 仅 
花费 5 万 美元 。 





另 一 种 传闻 说 ， 如 果 NSA 人 掌握 了 大 量 的 明文 和 密 文 ，NSA 专 家 就 可 
以 通过 某 类 统计 计算 ， 将 结果 输出 到 光盘 ， 从 而 得 到 密 钥 。 


这 些 仅仅 是 传闻 ， 它 们 并 不 能 使 我 对 DES 感 到 担心 。 这 只 是 一 个 长 
时 间 研 究 的 大 目标 。DES 的 任何 一 次 改动 几乎 都 更 恼人 人。 也 许 合成 密 角 
更 易于 被 破译 ， 但 NSA 可 能 没有 致力 于 这 方面 的 研究 投入 。 








我 推荐 采用 Biham 的 相关 密 钥 的 构造 方法 产生 S 盒 。 这 种 方法 易于 
软件 实现 ， 而 且 它 的 硬件 芯片 的 S 盒 可 装载 ， 性 能 超过 了 DES， 同 时 还 
增强 了 DES 算 法 抗 穷 举 攻击 的 能 力 ， 使 过 分 分 机 和 线性 分 析 攻 击 都 更 困 
难 ， 并 且 至 少 给 NSA 制 造 了 一 些 有 比 DES 更 强 算法 的 担忧。 





第 13 章 ”其 他 分 组 密码 算法 
13.1 Lucifer 算 法 


20 志 纪 60 年 代 末 期 ， 在 Horst Feistel 和 后 来 的 Walt Tuchman 的 倡导 
下 ，IBM 开 始 把 这 个 称 为 Lucifer 的 研究 成 果 用 在 计算 机 密码 学 中 。 
Lucifer 这 个 名 字 还 用 于 表示 20 世 纪 70 年 代 早期 设计 的 分 组 密码 算法 
L1482, 1484] 。 事 实 上 至 少 有 两 个 不 同 的 算法 用 了 这 个 名 字 £552. 1492] 
， 同 时 文献 1552] 在 该 算法 的 一 些 解释 中 也 留 下 了 一 些 空 白 。 所 有 这 
些 引 起 了 一 些 混 清 。 











Lucifer 是 一 个 包含 类 似 DES 构 造 模 块 的 代 蔡 -置换 网 络 。 在 DES 中 ， 
函数 {的 输出 与 前 一 轮 输入 异 或 后 ， 作 为 下 一 轮 的 输入 。Lucifer 的 S 例 有 
4 位 输入 、4 位 输出 ，S 盒 的 输入 是 前 一 轮 S 盒 输出 的 位 置换 ，S 盒 的 第 一 
轮 输入 是 明文 。 密 钥 位 用 于 从 两 个 可 能 的 S 盒 中 选 出 实际 使 用 的 S 盒 。 
(Lucifer 可 看 成 一 个 9 位 输入 及 8 位 输出 的 T 例 。) 与 DES 不 同 的 是 ， 在 
两 轮 之 间 没 有 交换 而 且 不 使 用 半 个 分 组 。Lucifer 有 16 轮 、128 位 的 分 
组 ， 且 密 钥 编制 算法 比 DES 简 单 。 


Biham 和 Shamir 指 出 ， 用 差分 密码 分 析 技 术 攻 击 具 有 32 位 分 组 和 8 轮 
的 第 一 种 形式 的 Lucifer， 只 需要 用 40 个 选择 明文 和 22 步 即 可 破译 。 同 


样 可 用 60 个 选择 明文 和 253 步 破 译 128 位 分 组 和 8 轮 的 Lucifer。 采 用 另 一 
种 形式 的 差分 密码 分 析 攻 击 用 24 个 选择 明文 可 在 221 步 内 破译 18 轮 和 128 
位 的 Lucifer。 所 有 的 这 些 攻击 都 使 用 了 DES 强 S 盒 。 用 差分 密码 分 析 技 
术 攻 击 Lucifer 的 第 二 种 形式 ， 他 们 发 现 S 盒 比 DES 弱 得 多 。 进 一 步 的 密 
码 分 析 表 明 : 可 能 超过 一 半 的 密 钥 是 不 安全 的 “12 。 相 关 密 钥 密码 分 
析 用 232 个 选择 密 钥 选择 明文 或 26 个 选择 密 钥 已 知 明文 可 破译 任何 轮 数 
的 128 位 分 组 的 Lucifer [158] 。Lucifer 的 第 二 种 形式 更 不 安全 【170、 


1725: 112] i 


有 些 人 认为 Lucifer 比 DES 更 安全 ， 因 为 有 更 长 的 密 铀 和 缺乏 公开 的 
结果 ， 显 然 结 果 不 是 这 样 。 





Lucifer 拥 有 多 个 美国 专利 “553、554、555、1483」 ， 但 如 今 都 已 到 期 。 


13.2 Madryga 算 法 








W.E.Madryga 于 1984 年 提出 这 个 分 组 算法 。 对 软件 实现 而 言 ， 它 很 
AS: 没有 烦人 的 置换 运算 ， 所 有 运算 都 基于 字 节 。 


就 意味 大 算法 





他 的 设计 目标 为 : 
C1) 如 果 不 用 密 钥 ， 将 不 能 从 密 文 中 推出 明文 〈 这 








EREN) 。 
(2) 从 一 个 明文 和 密 文 的 数据 中 确定 密 钥 所 需要 的 运算 次 数 从 统 
计 上 应 该 等 于 加 密 中 的 运算 与 可 能 密 钥 数 的 乘积 (这 意味 着 不 会 有 比 穷 


举 攻 击 更 好 的 明文 攻击 ) 。 
《所 有 的 安全 性 应 依 


C3) 对 算法 的 了 解 不 应 使 密码 的 强度 降低 。 
RE A.) 
(4) 在 相同 明文 中 密 钥 一 位 的 变化 应 引起 密 文 的 根本 变化 ， 在 相 
同 密 钥 中 明文 一 位 的 变化 应 引起 密 文 的 根本 变化 (这 叫做 雪 册 效应 〉。 
(5) 这 个 算法 应 包含 一 个 不 可 交换 的 代 答 与 置换 组 合 。 


(6) 这 个 算法 应 该 包括 在 输入 数据 和 密 钥 控制 下 的 代 蔡 和 置换 


C7) 明文 中 的 元 余 位 组 在 密 文 中 应 该 全 部 修 掩 盖 。 


(8) 密 文 长 度 应 该 与 明文 长 度 相 同 。 


(9) 在 任何 可 能 的 密 钥 和 密 文 之 间 ， 不 应 该 有 简单 的 关系 。 


(10) 任何 一 个 可 能 密 钥 将 产生 一 个 强 密码 〈 不 应 该 有 弱 密 铀 ) 。 


(11) 为 了 满足 各 种 应 用 ， 密 钥 和 文本 长 度 应 该 是 可 调 的 。 


(12) 算法 在 大 型 机 、 小 型 机 、 微 型 机 以 及 其 他 离散 逻辑 设备 上 能 
以 软件 的 形式 有 效 地 实现 。 (事实 上 ， 算 法 中 所 用 到 的 运算 仅 限 于 异 或 
和 移 位 。) 











DES 满 足 第 (1) ~ (9) 条 ， 而 后 面 3 条 是 新 的 。 假 定 破译 该 密码 
算法 最 好 的 方法 是 穷 举 攻击 ， 一 个 可 变 长 度 的 密 钥 将 完全 能 使 那些 认为 
56 位 太 低 的 人 哑 口 无 言 。 他 们 能 够 使 用 期 望 的 任意 长 度 的 密 钥 来 实现 这 
个 算法 。 而 且 ， 对 那些 企图 在 软件 中 使 用 DES 的 人 而 言 ， 此 算法 把 软件 
的 应 用 考虑 进去 将 是 受 欢 迎 的 。 

















13.2.1 Madryga 的 描述 


Madryga 包 括 两 层 航 套 循环 。 外 层 循环 8 次 〈 如 果 安 全 性 需要 ， 这 个 
次 数 可 增加 )》 ， 而 且 包 括 一 个 对 明文 的 内 层 循环 的 应 用 。 内 层 循环 将 明 








文 转换 成 密 文 ， 并 且 对 明文 的 每 8 位 分 组 〈 字 节 ) 就 重复 运行 一 次 。 因 
此 ， 这 个 算法 经 过 连续 8 次 运算 就 可 将 全 部 明文 处 理 完 。 


一 个 在 3 字 节 的 数据 窗口 上 运行 的 内 层 达 代 ， 称 为 工作 框架 ( 见 图 
13-1) 。 每 次 达 代 窗口 前 进 1 个 字 市 ( 当 人 处 理 最 后 两 个 字 节 时 ， 认 为 数 











据 是 循环 的 ) 。 最 后 一 个 字 节 与 某 些 密 钥 位 异 或 ， 同 时 工作 框架 的 头 2 
个 字 节 一 起 环 移 不 定数 目的 位 移 。 当 这 个 工作 框架 同 前 移动 时 ， 所 有 的 
字 节 都 连续 环 移 ， 且 与 密 钥 进行 异 或 运算 。 连 续 的 环 移 与 前 面 的 开 或 和 
环 移 的 结果 相互 登 加 ， 异 或 后 的 数据 用 于 对 环 移 产 生 影 响 ， 这 使 得 整个 
处 理 过 程 是 可 逆 的 。 
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图 13-1 Madryga 的 一 次 迭代 





因为 数据 的 每 一 个 字 节 都 影响 它 左边 的 2 个 字 节 和 右边 的 1 个 字 节 ， 
因此 ， 在 经 过 8 轮 迭 代 后 ， 密 文 的 每 一 个 字 布 都 与 其 右边 的 16 个 字 节 和 
左边 的 8 个 字 市 相关 。 





加 密 时 ， 内 层 循环 的 每 次 达 代 工作 框架 从 明文 的 倒数 第 2 个 字 市 开 
始 ， 然 后 前 进 到 明文 倒数 第 3 个 字 节 。 首 先 ， 整 个 密 钥 与 一 个 随机 第 数 
异 或 ， 然 后 同 左 环 移 3 位 。 工 作 框 以 低 字 市 的 低 3 位 被 存储 下 来 ， 它 们 将 
控制 其 他 2 个 字 节 的 环 移 。 然 后 ， 工 作 框 架 的 低 字 节 与 密 钥 的 低 字 节 异 
或 。 下 一 步 ， 两 个 较 高 字 节 被 一 起 向 左 环 移 不 定 的 数目 (0~~7) 。 最 
后 ， 工 作 框架 右 移 1 个 字 节 ， 然 后 重复 整个 处 理 过 程 。 





随机 常数 的 目的 是 将 密 钥 都 转换 为 伪 随 机 序列 。 此 常数 的 长 度 必 须 
与 密 钥 长 度 相 等 ， 且 对 希望 相互 间 通 信 的 人 来 说 ， 此 常数 必须 是 一 样 
的 。 对 于 64 位 密 钥 ，Madrgga 建 议 的 常数 是 0x0fle2d3c4b5a6978。 


解密 是 加 密 处 理 的 逆 过 程 。 内 层 循 环 的 每 一 次 达 代 使 工作 框架 从 密 


文 的 倒数 第 3 个 字 市 开始 ， 逆 方 同 前 进 到 密 文 的 倒数 第 2 个 字 市 。 密 钥 和 
2 个 密 文字 市 都 癌 右 移动 ， 在 循环 前 先进 行 异 或 运算 。 








13.2.2 ”Madryga 的 密码 分 析 





昆士兰 技术 大 学 的 研究 者 对 Madryga 进 行 了 测试 16”」 ， 并 将 它 与 
其 他 几 个 分 组 密码 进行 比较 。 他 们 发 现 该 算法 没有 体现 明文 和 和 密 文 间 的 


雪 朋 效应。 另外 ， 在 许多 密 文 中 1 的 百分比 比 0 的 百分比 高 。 


虽然 我 不 知道 这 个 算法 的 正式 分 析 结 果 ， 但 它 看 起 来 是 极其 不 安全 
的 。Eli Biham 粗 略 地 总 结 了 下 列 一 些 结果 [1001 : 


这 个 算法 仪 包括 线性 运算 〈 环 移 和 异 或 )， 它 们 对 数据 的 修改 是 很 
弱 的 。 


这 里 没有 使 用 像 DES 的 S 盒 那样 强 的 东西 。 





明文 和 密 文 所 有 位 的 奇偶 性 是 常数 ， 只 与 密 钥 有 关 。 因 此 ， 如 果 你 
有 一 个 明文 和 与 之 对 应 的 密 文 ， 你 就 能 预测 任何 明文 的 密 文 奇 偶 。 





这 不 是 对 这 个 算法 本 映 的 指 黄 ， 但 它 使 我 对 这 个 算法 印象 不 佳 ， 我 
不 推荐 Madryga。 


13.3 NewDES 算 法 


NewDES 是 Robert Scott 于 1985 年 设计 的 一 种 DES 的 替换 算法 “1405、 
364」 。 像 该 算法 的 名 字 所 暗 指 的 ， 该 算法 不 是 DES 的 变型 。 它 基于 64 位 
的 明文 分 组 ， 但 具有 120 位 密 钥 。 它 比 DES 简 单 ， 没 有 初始 或 未 置换 ， 
所 有 的 运算 都 针对 完整 的 字 节 。 (实际 上 ，NewDES 与 DES 的 新 类 型 没 
有 任何 关系 ， 该 算法 的 名 字 是 不 幸 的 。) 





明文 分 组 被 分 成 8 个 单字 节 长 的 子 分 组 Bo，B1，...，Be ，B，。 
然后 这 些 子 分 组 要 进行 17 轮 运算 ， 每 一 轮 有 8 步 。 在 每 一 步 中 ， 子 分 组 
中 的 一 个 与 某 个 密 钥 异 或 (只 有 一 个 例外 ) ， 然 后 通过 {函数 输出 代替 
字 节 ， 接 着 与 另 一 个 子 分 组 异 或 并 产生 子 分 组 。120 位 的 密 钥 分 成 15 个 
密 钥 子 分 组 ，Ko ，Ki ，...，Kis ，Kis 。 通 过 图 示 来 理解 这 个 过 程 比 描 


述 这 个 过 程 要 容易 些 。 图 13-2 给 出 了 NewDES 加 密 算 法 。 
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图 13-2 ”NewDES 算 法 


{ 国 数 可 从 相关 的 解释 中 得 到 ， 详 见 [1405] 。 





Scott 指出 ， 明 文 分 组 的 每 一 位 仅 在 第 7 轮 以 后 才 会 对 密 文 分 组 的 每 
一 位 产生 影响 。 他 也 分 析 了 { 函 数 ， 发 现 没有 明显 的 问题 。NewDES 与 
DES 一 样 具有 相同 的 互补 性 质 L364」 : 如 果 Ek P) =C， 那 么 Ek，(P 
') =C'。 这 使 得 穷 举 攻击 所 需要 的 工作 量 从 21” 2D eB 29 步 。Biham 注 
意 到 ， 作 用 于 所 有 密 钥 字 节 和 数据 字 贡 的 整个 字 节 的 任何 变化 ， 将 导致 
另 一 个 互补 问题 [160」 。 这 将 使 穷 举 攻击 的 工作 量 进一步 降 到 2112 步 。 





这 并 非 对 NewDES 的 指责 ， 但 Biham 的 相关 密 钥 密码 分 析 攻 击 能 够 
利用 233 个 选择 密 钥 选 择 明文 在 248 步 内 破译 NewDES [160」 。 虽 然 这 个 
攻击 很 费时 且 基 本 上 是 理论 上 的 ， 但 它 表 明 NewDES 比 原来 的 DES 弱 得 
多 。 








13.4 FEAL 算法 


FEAL 由 日 本 电报 电话 公司 的 Akihiro Shimizu 和 Shoji Miyaguchi 设 
计 ， 它 使 用 了 64 位 分 组 和 64 位 密 钥 。 它 的 想法 是 设计 一 个 类 似 于 DES 但 
比 DES 的 轮 函 数 更 强 的 算法 。 因 为 所 需要 的 轮 数 更 小 ， 所 以 这 个 算法 运 

行 得 较 快 。 不 六 的 是 ， 该 算法 的 实际 情况 远 没 有 达到 它 的 设计 目标 。 





13.4.1 FEAL 的 描述 


图 13-3 是 FEAL 算 法 的 框图 ， 其 加 密 过 程 由 一 个 64 位 的 明文 分 组 开 
始 。 首 先 ， 这 个 明文 分 组 与 64 位 的 密 钥 异 或 ， 然 后 数据 分 组 被 分 成 左 半 
部 分 和 右 半 部 分 。 左 半 部 分 与 右 半 部 分 异 或 构成 新 的 右 半 部 分 ， 左 半 部 
分 和 新 的 右 半 部 分 运行 n 轮 (最 初 是 4 轮 ) 。 在 每 一 轮 中 ， 右 半 部 分 与 16 
位 密 钥 混 合 〈 用 函数 f{) ， 然 后 与 左 半 部 分 异 或 ， 从 而 构成 新 的 右 半 部 

。 原 来 的 右 半 部 分 (这 轮 之 前 的 ) 构成 新 的 左 半 部 分 。 在 n 轮 之 后 
《 记 住 在 n 轮 之 后 ， 不 要 把 左 、 右 部 分 相交 换 ) ， 左 半 部 分 再 次 与 右 半 

部 分 异 或 构成 新 的 右 半 部 分 ， 然 后 左 、 右 部 分 连接 起 来 构成 64 位 。 这 个 
数据 分 组 与 密 钥 的 另外 64 位 异 或 ， 算 法 结束 。 
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图 13-3 FEAL 算 法 





函数 {将 数据 的 32 位 和 密 钥 的 16 位 混合 在 一 起 。 首 先 将 这 个 数据 分 
组 分 成 8 位 的 分 组 ， 然 后 这 些 分 组 相互 异 或 和 替换 。 图 13-4 是 函数 {f 的 杠 
图 。 其 中 函数 Su 和 Si 定义 为 : 


Sy (a; b) = 把 (a+b) mod 256 向 左 环 移 2 位 


S, (a, b) = 把 Catb+1) ) mod 256 癌 左 环 移 2 位 





图 13-4 peace 





解密 采用 相同 的 算法 ， 唯 一 的 区 别 是 解密 时 密 钥 需要 用 逆序 。 


图 13-5 是 密 钥 生成 函数 的 框图 。 首 先 ， 将 64 位 密 钥 分 成 两 部 分 ， 这 
两 部 分 异 或 ， 并 通过 图 中 的 函数 f 进行 运算 。 图 13-6 是 函数 f 的 框图 。 
将 两 个 32 位 的 输入 分 成 8 位 的 分 组 ， 然 后 进行 混合 和 代替 。S。 FS, 在 前 
面 已 经 定义 。 而 后 ，16 位 密 钥 分 组 就 可 用 于 加 密 / 解密 算法 中 。 


在 10MHz 的 80286 微 处 理 器 上 ， 用 汇编 语言 实现 的 FEAL-32 程 序 能 
够 以 220Kb/s 的 速度 加 密 数据 ，FEAL-64 能 够 以 120Kb / s 的 速度 加 密 数 
据 [1104] g 
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图 13-5 ”FEAL 密 钥 生 成 
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图 13-6 Pe ALE, 
13.4.2 FEAE 的 密码 分 析 


具有 4 轮 运 算 的 FEAL 叫 做 FEAL-4， 在 文献 [201] 中 用 选择 明文 攻 


击 方法 对 它 进行 了 成 功 的 密码 分 析 ， 随 后 在 文献 [1132] 中 它 被 攻破 。 
后 者 由 Sean Murphy 完 成 ， 他 采用 了 差分 密码 分 析 且 仅 需 要 20 个 选择 明 
文 。 设 计 者 用 8 轮 FEAL (FEAL-8) 予以 还 击 [1436、1437、1108] ，Biham 
和 Shamir 曾 在 SECURICOM'89 会 议 [1424] 上 宣布 了 该 算法 的 密码 分 
析 。 另 一 个 针对 FEAL-8 [610」 的 、 仅 采用 了 1 万 个 明文 分 组 的 选择 明文 
攻击 使 其 设计 者 不 得 不 认输 ， 并 重新 定义 了 使 用 可 变 轮 数 的 FEAL-N 
[1102, 1104] (NN 当然 要 大 于 8) 。 


Biham 和 Shamir 对 FEAL-N 使 用 了 差分 密码 分 析 技 术 后 发 现 ， 对 少 于 
32 轮 的 算法 版 本 ， 差 分 分 析 比 穷 举 搜索 更 快 〈 用 了 不 到 264 个 选择 明 
X) 【169」 。 破 译 FEAL-16 需 要 228 个 选择 明文 或 2465 个 已 知 明文 ， 破 
译 FEAL-8 需 要 2000 个 选择 明文 或 2373 个 已 知 明文 ;破译 FEAL-4 仅 用 8 
个 仔细 选择 的 选择 明文 就 可 破译 。 


FEAL 的 设计 者 也 定义 了 FEAL 的 改进 型 一 一 FEAL-NX， 它 有 128 位 
的 密 钥 〈 见 图 13-7) 【1103、1104] 。Biham 和 Shamir 指 出 ， 不 论 N 取 什么 
值 ，128 位 密 钥 的 FEAL-NX 与 64 位 密 钥 的 FFAL-N 一 样 容 易 唱 到 破译 
L169」 。 最 近 又 提出 了 一 个 具有 动态 交换 函数 的 增强 FEAL 版 FFAL- 
N (X) § [1525], 
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图 13-7 FEAL-NX 2545 4a till 


还 有 更 多 的 攻击 ， 在 文献 [1520] 中 公布 的 另 一 种 攻击 方法 对 
FFAL-4 仅 需要 1000 个 已 知 明 文 ， 对 FEAL-8 仅 需 2 万 个 已 知 明文 。 在 文献 
[1549, 1550] 中 还 有 其 他 攻击 方法 。 最 好 的 攻击 方法 是 Mitsuru Matsui 
和 Atshuiro Yamagishi 提 出 的 “1020」 ， 该 方法 是 线性 密码 分 析 的 首次 使 





用 ， 只 需要 5 个 已 知 明文 即 可 攻破 FEAL-4， 只 需要 100 个 已 知 明文 即 可 
攻破 FEAL-6， 只 需要 22 个 已 知 明文 即 可 攻破 FEAL-8。 更 好 的 攻击 方法 
是 在 文献 [64] 中 ， 差 分 线性 分 析 仅 需要 12 个 选择 明文 即 可 攻破 FEAL- 
8 [62] 。 无 论 何 时 只 要 某 人 提出 了 新 的 分 析 方法 ， 他 似乎 总 是 先 来 攻 
FEAL. 





1343 专利 


FEAL 在 美国 得 到 了 专利 [1438 ， 而 在 英国 、 法 国 和 德国 ， 其 专利 
仍 巧 而 未 决 。 布 望 获取 此 算法 许可 权 的 任何 人 都 可 与 以 下 地 址 联系 : 
Intellectual Property Department, NTT, 1-6 Uchisaiwai-cho, 1-chome, 


Chiyada-ku, 100 Japan. 


13.5 REDOC 算 法 


REDOCI 是 由 Michael Wood 为 Cryptech 公 司 设计 的 另 一 个 分 组 算法 
L1613、400] 。 它 包含 20 字 节 〈160 位 ) 密 铀 和 80 位 明文 分 组 。 


REDOC I MARSA E, RBMK WETE. i% 
EEA ich FA KFK. REDOC II (FH Ae mae, ALRDES HS 
样 ， 使 用 固定 的 《尽管 由 于 安全 性 的 因素 ， 经 过 了 优化 ) ERARE K 
数 表 ，REDOC 了 使 用 依赖 于 密 钥 和 明文 的 表 〈( 实 际 上 是 S 盒 )。 
REDOC 了 由 10 个 加 密 轮 组 成 ， 每 一 轮 都 对 分 组 进行 复杂 的 运算 。 





在 这 个 设计 中 ， 男 一 个 独特 的 特性 是 掩 码 (mask〉 的 使 用 。 从 密 
钥 表 中 获得 的 数 用 来 为 给 定 轮 的 给 定 函 数 选择 表 (S 盒 )。 数 据 值 和 掩 
码 一 起 用 来 选择 函数 表 。 





如 果 假 定 穷 举 攻击 是 最 有 效 的 攻击 方法 ， 那 么 REDOCI 是 非常 安 
全 的 。 如 果 想 获取 密 钥 ， 那 么 需 2280 次 运算 。Thomas Cusick 对 
REDOC II 的 一 轮 进行 了 密码 分 析 ， 但 他 不 能 将 这 种 攻击 推广 到 多 轮 上 
L400」 。Biham 和 Shamir 采 用 差分 分 析 利 用 2300 个 选择 明文 能 成 功 地 对 
REDOCII 的 一 轮 进行 密码 分 析 “70 ， 这 种 攻击 也 不 能 扩展 到 多 轮 
上 ， 但 可 获得 4 轮 后 的 3 个 掩 码 值 ， 我 还 不 知道 有 其 他 攻击 。 


13.5.1 REDOCIII 


REDOCII 是 由 Michael wood 设计 的 REDOC 开 的 精简 型 版 本 [1615] 
。 它 在 80 位 分 组 上 进行 运算 ， 密 钥 长 度 是 可 变 的 ， 且 能 够 增 大 到 2560 字 
节 〈20480 位 ) 。 这 个 算法 只 包含 消息 字 节 和 密 钥 字 节 间 的 异 或 运算 ， 


HA ERRARE 














C1) 用 秘密 密 钥 产 生 具 有 256 个 10 字 节 密 钥 的 密 钥 表 。 


(2) 产生 两 个 10 字 节 的 掩 码 分 组 :Mi AIM, , M, 是 前 128 个 10 字 


节 密 钥 的 异 或 ，M, 是 后 128 个 10 字 节 密 钥 的 异 或 。 
(3) 加 密 10 字 节 分 组 : 


(a) 数据 分 组 的 第 一 个 字 节 与 Mi 的 第 一 个 字 节 异 或 。 从 第 (1) 
步 中 计算 出 的 密 钥 表 中 选择 一 个 密 钥 ， 使 用 计算 出 的 异 或 值 作为 该 选择 
密 钥 的 地 址 。 除 了 第 一 个 字 节 外 ， 将 数据 分 组 中 的 每 一 个 字 市 与 所 选 密 
钥 对 应 的 字 市 进行 异 或 运算 。 





(b〉 数 据 分 组 的 第 二 个 字 节 与 Mi 的 第 二 个 字 节 异 或 。 从 第 (1) 
步 中 计算 出 的 密 钥 表 中 选择 一 个 密 钥 ， 使 用 计算 出 的 寞 或 值 作为 该 选择 
密 钥 的 地 址 。 除 了 第 二 个 字 节 外 ， 将 数据 分 组 中 的 每 一 个 字 市 与 所 选 密 
钥 对 应 的 字 市 进行 异 或 运算 。 


Co) 继续 对 整个 数据 分 组 进行 运算 〈 字 节 3~10) ， 直 到 每 一 个 字 
节 都 已 在 与 对 应 的 Mi 值 异 或 后 ， 用 于 从 密 钥 表 中 选择 一 个 密 钥 ， 然 后 
将 除了 用 于 选择 密 钥 的 字 节 外 的 每 一 字 市 与 密 钥 的 每 一 字 节 进行 异 或 。 


(d) FIM, 重复 (a) ~ (ce). 


这 个 算法 容易 实现 且 速 度 很 快 。 在 一 个 33MHz 的 80386 上 ， 此 算法 
加 密 数 据 的 速率 是 2.75Mb/s。Wood 估 计 具 有 64 位 数据 路 径 ， 采 用 流水 
线 设 计 的 VLSI， 用 20MHz 时 钟 ， 其 数据 加 密 速 率 可 超过 1.28Gby/s。 








REDOCII 是 不 安全 的 [1440」 ， 它 容易 受到 差分 攻击 ， 仅 利用 223 
个 选择 明文 就 可 重 构 两 个 掩 码 。 


13.5.2 ”专利 和 许可 证 


REDOC 的 两 个 版 本 在 美国 获得 了 专利 “1614」 ， 国 外 的 专利 还 悬 而 
未 决 ， 有 兴趣 获得 REDOC I 工 或 REBOCII 使 用 许可 的 任何 人 可 与 其 设计 
者 Michal C.Wood 联 系 ， 地 址 为 : Delta Computec, Inc., 6647 Old 


Thompson Rd., Syracuse, NY 13211. 


13.6 ” LOKI 算法 


LOKI 是 澳大利亚 人 在 1990 年 首先 提出 的 作为 DES 的 一 种 潜在 蔡 换 
算法 L273」 。 它 使 用 了 64 位 数据 分 组 和 64 位 密 钥 。 该 算法 的 一 般 结构 和 
密 钥 编 制 算 法 可 在 文献 [274、275] 中 找到 ，S 盒 的 设计 方法 可 在 
[1247] 中 找到 。 

Biham 和 Shamir 利 用 差分 分 析 比 穷 举 攻击 更 快 地 破译 小 于 12 轮 的 


LOKI H] 。 并 且 ， 该 算法 存在 一 个 8 位 的 互补 特性 ， 这 使 得 穷 举 攻击 
的 复杂 性 降低 了 256 倍 [170、 916. 917] 。 


Lars Knudsen 证 明了 小 于 15 轮 的 LOKI 容 易 受到 差分 攻击 L852 853] 
。 男 外 ， 如 果 LOKI 用 蔡 换 的 S 盒 来 实现 ， 形 成 的 密码 也 容易 受到 差分 攻 
He 


13.6.1 LOKI91 


为 了 对 付 这 些 攻击 ，LOKI 的 设计 者 去 掉 了 一 些 已 公开 的 缺陷 ， 修 
改 了 该 算法 ， 这 就 是 LOKI91 [272] (LOKI 的 前 一 个 版 本 称 关 


LOKI89) 。 


为 了 使 该 算法 更 加 能 抗震 分 攻击 并 能 消除 互补 特性 ，LOKI91 有 下 


C1) 改变 了 子 密 钥 的 产生 方法 ， 使 得 每 两 轮 交 换 左 右 两 半 部 分 ， 





而 不 是 每 轮 交 换 。 





(2) 改变 了 子 密 钥 的 产生 方法 ， 使 得 左 子 密 钥 交 痊 进行 同 左 环 移 


12 位 和 13 位 。 


(3) 取消 了 数据 和 蜜 钥 的 初始 和 最 终 异 或 运算 。 








(4) S 盒 具有 更 好 的 异 或 差分 特性 (该 改进 可 阻止 差分 分 析 ) ， 同 








时 取消 了 x 的 任意 值 以 满足 f (x) =0， 此 处 { 是 E 盒 、S 盒 和 P 盒 的 组 合 。 
13.6.2 LOKI91 的 描述 


LOKI 与 DES 的 原理 类 似 〈 见 图 13-8) 。 首 先 将 数据 分 组 分 成 左 半 部 





分 和 右 半 部 分 ， 并 运行 16 轮 ， 很 像 DES。 在 每 一 轮 中 ， 右 半 部 分 首先 与 
子 密 钥 异 或 ， 然 后 通过 一 个 扩展 置换 〈 见 表 13-1) 。 


表 13-1 扩展 置换 





将 48 位 输出 划分 为 4 个 12 位 分 组 ， 每 个 分 组 进入 S 盒 代替 ，S 盒 代 符 








如 下 : 取 每 12 位 作为 输入 ， 用 它 的 最 左 2 位 和 最 右 2 位 形成 一 个 数 r， 中 
间 的 8 位 形成 数 c，S 盒 的 输出 O 定 义 为 : 


O(r.c) = (c+ (r X17) @ Oxf f & ozprr)slmod Pr 


ROL 12 


ROL 13 


ROL 12 
ROL 13 





图 13-8 LOKI91 


Pr 在 表 13-2 中 给 出 。 


表 13-2 Pr 
r 1 2 3 4 6 7 8 9 10, 14 12 13 14 1 16 
Pr 375 379 391 395 397 4] 419 42 433 445, 451 463 471 477 487 499 


然后 ，4 个 8 位 输出 重新 组 合成 32 位 数据 ， 并 通过 表 13-3 描 述 的 置 
换 。 最 后 ， 左 半 部 分 与 右 半 部 分 异 或 形成 新 的 左 半 部 分 ， 原 来 的 左 半 部 
分 与 右 半 部 分 异 或 变 成 新 的 右 半 部 分 。 在 16 轮 后 ， 数 据 分 组 再 次 与 密 角 
异 或 产生 密 文 。 











表 13-3 PREAM 


从 密 钥 中 产生 子 密 钥 的 方法 很 简单 。64 位 密 钥 被 分 成 元 半 部 分 
半 部 分 。 在 每 一 轮 中 ， 子 密 钥 是 左 半 部 分 。 左 半 部 分 随后 问 左 环 移 12 位 
或 13 位 ， 然 后 在 每 两 轮 之 间 左 半 部 分 和 右 半 部 分 交换 。 像 DES 一 样 ， 加 
密 和 解密 使 用 同样 的 算法 ， 只 是 在 怎样 使 用 子 密 钥 上 有 些 不 同 。 





13.6.3 LOKI91 的 密码 分 析 


Knudsen 曾 尝试 对 LOKI91 进 行 密码 分 析 [854 88] ， 他 发 现 该 算法 
能 安全 地 对 抗 差 分 密码 分 析 。 但 他 发 现 了 一 种 相关 密 钥 的 选择 明文 攻 
击 ， 它 能 将 穷 举 攻 击 的 复杂 性 降低 了 几乎 1 / 4。 这 个 攻击 暴露 了 密 钥 编 
制 算法 中 的 弱点 ， 如 果 将 这 个 算法 用 作 一 个 单 回 散 列 函数 ， 也 存在 这 个 
弱点 (参见 18.11 节 )。 





利用 相关 密 钥 的 另 一 种 密码 分 析 使 用 22 个 选择 密 钥 选择 明文 或 2 和 


个 选择 密 钥 已 知 明文 能 够 破译 LOKI91 -158」 。 这 个 攻击 与 算法 的 轮 数 

无 关 〔 在 同一 篇 论文 里 ，Biham 利 用 相关 密 钥 攻击 用 21 个 选择 密 钥 选 择 
明文 或 23 选择 密 钥 已 知 明文 破译 了 LOKI89) 。LOKI91 很 容易 抗击 这 

个 攻击 ， 避 免 了 简单 密 钥 编制 。 





13.6.4 ”专利 和 许可 证 


LOKI 没 有 专利 ， 任 何人 都 可 使 用 它 。 本 书 源 代码 版 权 属 于 新 南 威 
尔 士 大 学 。 那 些 对 在 商业 产品 中 使 用 这 个 代码 (或 他 们 的 其 他 代码 ， 它 
们 的 运行 速度 不 一 样 ) 感 兴趣 的 任何 人 都 可 与 下 列 地 址 取得 联系 : 


Director CITRAD, Department of Computer Science, University 





College, UNSW, Australian Defense Force Academy, Canberra 
ACCT2600, Australia, 1% 79+6162688581 . 


13.7 Khufu 和 Khafre 算 法 


1990 年 ，Ralph Merkle 提 出 了 两 个 算法 ， 算 法 的 基本 设计 原理 如 下 


[1071] 


(1) DES 的 56 位 密 钥 长 度 太 短 。 考 虑 到 增加 密 钥 长 度 花 费 微 不 足 
道 ( 计 算 机 内 存 很 廉价 有 旦 容量 很 大 ) ， 故 它 应 该 加 长 。 





(2) DES 的 置换 适合 于 硬件 实现 ， 用 软件 实现 则 非常 困难 。DES 
的 快速 软件 实现 采用 但 表 来 实现 置换 。 但 表 能 提供 与 置换 同样 的 “ 扩 
散 ” 特 性 ， 但 它 具 有 更 大 的 灵活 性 。 





(3) DES 中 的 S 盒 很 小 ， 每 个 盒 仅 有 64 个 4 位 单元 。 现 在 存储 器 更 
大 了 ，S 盒 应 该 增 大 。 况 且 ， 同 时 使 用 全 部 8 个 S 盒 ， 这 一 点 对 硬件 很 合 

， 但 对 软件 来 说 却 是 不 合理 的 限制 。 应 该 顺序 地 【而 非 并 行 地 ) 使 用 
KSA. 


(4) 普 近 认为 DES 的 初始 和 末 置 换 没有 密码 学 意义 ， 应 该 取消 。 


(5) 所 有 DES 的 快速 实现 都 为 每 一 轮 预 先 计算 出 密 钥 。 基 于 这 个 
事实 ， 使 得 这 种 计算 更 复杂 。 


(6) 不 像 DES，S 盒 的 设计 应 该 公开 。 


针对 这 些 问题 ，Merkle 现 在 可 能 要 增加 “ 抗 差 分 密码 分 析 和 线性 攻 
击 ”， 但 这 些 攻击 在 当时 还 是 未 知 的 。 


13.7.1 Khufu 


Khufu 是 一 个 64 位 分 组 密码 。 首 先 将 64 位 明文 分 为 32 位 的 两 部 分 : L 
和 R。 首 先 ， 两 半 部 分 都 与 密 钥 异 或 。 然 后 ， 它 们 通过 类 似 于 DES 的 一 
系列 轮 运算 。 在 每 一 轮 中 ， 工 的 最 低 字 节 作 为 一 个 S 盒 的 输入 ， 每 个 S 盒 
有 8 位 输入 和 32 位 输出 ， 输 出 的 32 位 再 与 R 异 或 。 然 后 L 环 移 8 位 的 某 个 
倍数 ， 接 着 L 和 RR 交换， 这 一 轮 就 结束 了 。S 合 本身 是 动态 的 ， 每 8 轮 束 
要 改变 。 最 后 一 轮 结束 后 ，L 和 R 与 更 多 的 密 钥 异 或 ， 然 后 组 成 密 文 分 
组 。 











虽然 部 分 密 钥 在 算法 开始 和 结束 时 与 加 密 分 组 异 或， 但 密 钥 的 主要 
目的 是 产生 S 合 。 这 些 S 盒 都 是 秘密 的 ， 且 本 质 上 可 看 成 密 钥 的 一 部 分 。 
Khufu 算 法 需要 512 位 (64 字 市 ) 长 的 密 钥 ， 并 给 出 了 一 个 从 密 钥 产生 5S 
盒 的 算法 。 这 个 算法 的 轮 数 是 未 定 的 。Merkle 认 为 8 轮 的 Khufu 可 能 受到 
选择 明文 分 析 ， 因 此 推荐 使 用 16、24 或 32 “1071」 (他 把 轮 数 的 选择 限 
制 为 8 的 倍数 ) 。 





由 于 Khufu 有 一 个 相关 密 钥 和 秘密 的 S 盒 ， 所 以 它 对 差分 密码 分 析 是 
免疫 的 。 存 在 一 种 攻击 16 轮 Khufu 的 差分 攻击 ， 它 需要 231 个 选择 明文 来 





恢复 密 钥 LSU ， 但 该 方法 不 能 扩展 到 更 多 的 轮 。 如 果 穷 举 攻击 是 攻击 
Khufu 的 最 好 方法 ， 那 么 破译 它 将 非常 地 困难 。512 位 密 钥 给 出 了 22- 的 
复杂 性 一 一 在 这 种 情形 下 ， 破 译 它 是 不 可 想象 的 。 


13.7.2 Khafre 


Khafre 是 Merkle 提 出 的 两 个 密码 算法 中 的 第 三 个 [10714 。 (Khufu 
和 Khafre 以 两 个 埃及 法 老 的 名 字 命 名 。) 在 设计 上 ， 它 类 似 于 Khufu， 
只 是 它 被 设计 在 不 需要 预计 算 时 间 的 应 用 上 ，S 盒 与 密 钥 无 关 ， 相 反 使 
用 了 一 个 固定 的 S 盒 集 ， 且 密 钥 与 加 密 数据 分 组 的 异 或 不 仅 在 第 一 轮 之 
前 和 最 后 一 轮 之 后 ， 而 且 也 在 每 8 轮 加 密 之 后 。 


Merkle 认 为 在 Khafre 中 需要 用 64 位 或 128 位 密 铀 ， 且 Khafre 比 Khufu 
应 用 更 多 加 密 轮 。 考 虑 到 Khafre 的 每 一 轮 比 Khufu 更 复杂 ， 这 使 得 该 算 
法 更 慢 。 作 为 补偿 ，Khafre 不 要 求 任 何 预计 算 ， 因 此 对 于 加 密 少量 数据 
速度 更 快 。 





1990 年 ，Biham 和 Shamir 对 Khafre 使 用 差分 密码 分 析 技 术 [170] 。 
他 们 用 了 1500 次 不 同 加 密 的 选择 明文 攻击 法 破译 了 16 轮 Khafre。 用 他 们 
的 个 人 计算 机 ， 花 了 大 约 1 小 时 。 如 用 已 知 明文 攻击 需要 大 约 233 次 加 
密 。 用 223 次 加 密 的 选择 明文 攻击 或 用 2”3 次 加 密 的 已 知 明文 攻击 能 破译 
24 轮 Khafre。 


13.7.3 Fil 


Khufu 和 Khafre 都 申请 了 专利 “10724 ， 算 法 的 源 代码 也 受 专 利 保 
护 。 对 这 两 个 算法 的 使 用 许可 感 兴趣 的 人 可 与 以 下 地 址 取得 联系 : 
Director of Licensing, Xerox Corporation, P.O.Box 1600, Stamford, 


CT, 06904-1600. 


13.8 RC2 算 法 


RC2 Ron Rivest 为 RSA 数 据 安 全 公司 CRSADSD 设计 的 密 钥 长 度 可 
变 的 加 密 算法 。 虽 然 *RC” 的 官方 标准 表示 “Rivest Cipher”， 实 际 上 ， 它 
表示 “Ron's Code”(RC3 在 开发 过 程 中 在 RSADSI 被 攻破 了 ，RC1 除 了 在 
Rivest 的 记事 本 上 外 ， 从 未 公开 ) 。 它 的 细节 未 公开 ， 但 不 要 认为 这 有 
助 于 它 的 安全 。RC2 已 经 出 现在 某 些 商业 产品 中 。 就 我 所 知 ，RC2 没 有 
申请 专利 ， 仅 作为 商业 秘密 进行 保护 。 











RC2 被 设计 成 取代 DES 的 一 种 密 钥 长 度 可 变 的 64 位 分 组 密码 。 按 照 
这 家 公司 的 说 法 ， 用 软件 实现 的 RC2 比 DES 快 3 倍 。 该 算法 接收 可 变 长 
度 的 密 钥 ， 其 长 度 可 从 0 字 节 到 计算 机 系统 所 能 接收 的 最 大 长 度 的 字符 
串 ， 加 密 速 度 与 密 钥 的 长 度 无 关 。 这 个 密 钥 预 处 理 成 128 字 节 的 相关 密 
钥 表 ， 所 以 有 效 的 不 同 密 钥 的 数目 是 21024 。RC2 没 有 S 盒 “805」 ， 两 个 
运算 是 “混合 "和 “ 掩 码 ” 其 有 一 个 是 从 每 一 轮 中 选取 。 根 据 他 们 的 文献 
[1334] : 


RC2 不 是 一 个 迭代 型 的 分 组 密码 ， 这 次 明 RC2 比 其 他 安全 性 依赖 于 
复制 DES 设 计 的 分 组 密码 算法 更 能 对 抗震 分 和 线性 攻击 。 


RSADSI 拒 绝 公 开 出 版 RC2 算 法 ， 这 令 人 对 他 们 的 说 法 产生 怀疑 。 
他 们 愿意 将 算法 的 细节 提供 给 愿意 釜 普 对 该 算法 保密 的 人 ， 同 时 他 们 人 多 


许 密 码 分 析 学 家 公开 他 们 发 现 的 任意 否定 的 结 末 。 我 不 知道 除了 该 公司 
研究 RC2 算 法 的 人 外 ， 还 有 其 他 什么 人 愿意 对 它们 进行 分 析 ， 因 为 这 相 
当 于 为 他 们 做 分 析 工 作 。 


然而 ，Ron Rivest 不 是 一 般 的 “ 滑 头 ” 锦 售 者 ， 他 是 一 个 受 伍 重 并 有 
能 力 的 密码 学 者 。 尽 管 我 没 亲自 审查 这 些 代码 ， 但 我 还 是 对 这 个 算法 有 
一 定 程 度 的 信任 。 一 旦 RSADSI 的 专利 问题 得 到 解决 ，RC4 将 放 在 互联 
网 上 (参见 17.1 节 ) ， 将 RC2 也 放 到 网 上 仅 是 时 间 问 题 。 











软件 出 版 商 协会 《SPA) 和 美国 政府 之 间 最 近 达 成 了 一 项 协议 ， 美 
国政 府 在 出 口 方面 给 予 RC2 和 RC4 (参见 17.1 节 ) 特殊 的 地 位 (参见 
25.14 节 ) 。 采 用 这 两 种 算法 之 一 的 产品 有 更 简单 的 出 口 审 批 手 续 ， 前 
提 是 提供 的 密 钥 长 度 不 超过 40 位 。 


40 位 密 钥 足够 长 吗 ? 总 共有 240 (102) 个 可 能 的 密 钥 。 假 定 穷 举 
搜索 法 是 最 有 效 的 密码 分 析 方 法 (一 个 大 胆 的 假设 ， 考 虑 到 算法 从 未 公 
布 才 做 出 的 ) ， 假 定 穷 举 分 析 芯 片 每 秒 能 测试 100 万 个 密 钥 ， 那 么 找 出 
正确 的 密 钥 将 需要 12.7 天 。 如 果 1000 台 设备 同时 工作 ， 那 么 在 20 分 钟 内 
就 可 找 出 这 个 正确 的 密 钥 。 


RSA 数 据 安全 公司 坚持 认为 ， 当 加 密 和 解密 过 程 很 快 时 ， 穷 举 密 钠 
搜索 是 不 能 成 功 的 。 大 量 的 时 间 将 花费 在 建立 密 钥 表 上 。 尽 管 加 密 和 解 
密 消息 时 花费 的 时 间 可 以 忽略 不 计 ， 但 当 党 试 每 一 个 可 能 的 密 钥 时 ， 花 





费 的 时 间 必 须 考 虑 。 


美国 政府 绝 不 会 允许 出 口 它 不 能 破译 的 (至 少 在 理论 上 ) 算法 。 他 
们 可 以 生成 用 每 一 个 可 能 密 钥 加 密 的 明文 分 组 的 磁带 或 CD。 为 了 破译 
一 个 给 定 的 消 轧 ， 只 需要 运行 这 个 磁带 ， 然 后 将 消 轧 中 的 密 文 分 组 与 磁 
带 上 的 密 文 分 组 相 比较 ， 如 果 匹 配 ， 试 试 选 出 的 密 钥 ， 然 后 看 消息 有 何 
意义 。 如 果 你 选择 一 个 普通 的 明文 分 组 〈 全 零 、 对 应 于 空格 键 的 ASCII 
码 字符 等 ) ， 这 种 方法 应 该 有 效 。 对 一 个 64 位 明文 用 全 部 10“ 个 可 能 的 
密 角 加密， 其 所 需要 的 存储 空间 是 8TB 一 一 这 当然 可 能 。 














如 果 要 获得 RC2 许 可 证 的 信息 ， 可 以 与 RSADSI 联 系 (参见 25.4 


13.9 _ IDEA 算法 


Xuejia Lai 和 James Massey 于 1990 公 布 了 IDEA 密 码 算法 的 第 1 版 
[929] ， 它 叫做 推荐 加 密 标准 (Proposed Encryption Standard, PES) 。 
在 Biham 和 Shamir 演 示 了 差分 密码 分 析 之 后 ， 第 二 年 设计 者 为 抵抗 此 攻 
击 ， 增 加 了 和 窒 码 算法 的 强度 ， 他 们 把 新 算法 称 为 改进 型 推荐 加 答 标 准 

(Improved Proposed Encryption Standard, IPES) [931 924」 。IPES 在 
1992 年 又 改名 为 国际 数据 加 密 算 法 〈International Data Encryption 
Algorithm, IDEA) $931 。 


IDEA 基 于 某 些 可 靠 的 基础 理论 ， 虽 然 密码 分 析 者 能 对 轮 数 减少 的 
变型 算法 进行 一 些 分 析 工 作 ， 但 该 算法 仍然 是 安全 的 。 依 我 看 来 该 算法 
是 目前 已 公开 的 最 好 和 最 安全 的 分 组 密码 算法 。 


现在 还 不 清楚 IDEA 的 未 来 怎样 ， 也 还 没有 打算 用 它 来 蔡 换 DES， 
部 分 原因 是 它 有 专利 和 必须 有 商业 使 用 的 许可 证 ， 部 分 原因 是 人 们 仍 在 
等 待 密码 分 析 家 在 将 来 几 年 中 分 析 该 算法 是 否 安全 ， 它 目前 已 作为 PGP 


的 一 部 分 (参见 24.12 节 ) 。 








13.9.1 IDEA 


IDEA 是 一 个 分 组 长 度 为 64 位 的 分 组 密码 算法 ， 密 钥 长 度 为 128 位 ， 





同一 个 算法 既 可 用 于 加 密 ， 又 可 用 于 解密 。 


与 我 们 已 看 到 过 的 所 有 其 他 分 组 密码 算法 一 样 ，IDEA 既 用 混乱 又 
用 扩散 。 该 算法 的 设计 原则 是 一 种 “来 自 于 不 同 代 数 群 的 混合 运算 ”。 
个 代数 群 进行 混合 运算 ， 无 论 用 人 硬件 还 是 软件 ， 它 们 都 易于 实现 。 








- 模 216 加 。 
: 模 216 +1 乘 〈 这 个 运算 可 看 成 是 IDEA 的 S 盒 ) 。 


所 有 这 些 运 算 《〈 这 些 是 算法 中 仪 有 的 运算 一 RAMAR) 都 在 16 
位 子 分 组 上 进行 。 这 个 算法 对 16 位 处 理 器 尤其 有 效 。 








13.9.2 IDEA 的 描述 


图 13-9 是 IDEA 的 一 个 总 览 。64 位 数据 分 组 分 成 4 个 16 位 子 分 组 : Xi 
、X; 、X3s 和 X4 。 这 4 个 子 分 组 成 为 算法 的 第 一 轮 输 入 ， 总 共有 8 轮 。 在 
每 一 轮 中 ， 这 4 个 子 分 组 相互 间 异 或 、 相 加 、 相 乘 ， 且 与 6 个 16 位 子 密 铀 
异 或 、 相 加 、 相 乘 。 在 轮 与 轮 之 间 ， 第 二 和 第 三 个 子 分 组 交换 。 最 后 在 
输出 变换 中 4 个 子 分 组 与 4 个 子 密 钥 进行 运算 。 


(1) 
Zi 





输出 变换 


X: 16 位 明文 子 分 组 

Y: 16 位 密 文子 分 组 

ZO: OPTRA 

P: 16 位 子 分 组 的 相 异 或 

田 : 16 位 整数 的 模 2* 加 

O: 16 位 整数 与 2% 对 应 0 子 分 组 的 模 2"+1 乘 


图 13-9 IDEA 
在 每 一 轮 中 ， 执 行 的 顺序 如 下 : 


(1) X MELAT EHER. 





(2) X 和 第 2 个 子 密 钥 相 加 。 

(3) Xs 和 第 3 个 子 密 钥 相 加 。 

(4) X4 和 第 4 个 子 密 钥 相 乘 。 

(5) KE a) 步 和 第 G) 步 的 结果 相 异 或 。 
(6) 将 第 (2) 步 和 第 (4) 步 的 结果 相 异 或 。 
(7) 将 第 (5) 步 的 结果 与 第 5 个 子 密 钥 相 乘 。 
(8) 将 第 〈6) 步 和 第 (7) 步 的 结果 相 加 。 
(9) 将 第 (8) 步 的 结果 与 第 6 个 子 密 钥 相 乘 。 
(10) 将 第 (7) 步 和 第 (9) 步 的 结果 相 加 。 


(11) 将 第 (1) 步 和 第 〈9) 步 的 结果 相 异 或 。 


WY 


(12) 将 第 (3) 步 和 第 (9) 步 的 结果 相 异 或 。 
(13) 将 第 (2) 步 和 第 〈10) 步 的 结果 相 异 或 。 


(14) 将 第 (4) 步 和 第 (10) 步 的 结果 相 异 或 。 


每 一 轮 的 输出 是 第 (11) 、 (12) 、 (13) 和 (14) 步 的 结果 形成 
的 4 个 子 分 组 。 将 中 间 两 个 分 组 交换 〈 最 后 一 轮 除外 ) 后 ， 即 为 下 一 轮 


的 输入 。 
经 过 8 轮 运算 之 后 ， 有 一 个 最 终 的 输出 变换 : 
(1) X, 和 第 1 个 子 密 钥 相 乘 。 
(2) X, 和 第 2 个 子 密 钥 相 加 。 
(3) Xs 和 第 3 个 子 密 钥 相 加 。 
(4) X4 和 第 4 个 子 密 钥 相 乘 。 


最 后 ， 这 4 个 子 分 组 重新 连接 到 一 起 产生 密 文 。 





产生 子 密 钥 也 很 容易 。 这 个 算法 用 了 52 个 子 密 钥 (8 轮 中 的 每 一 轮 
要 6 个 ， 其 他 4 个 用 于 输出 变换 ) 。 首 先 ， 将 128 位 密 钥 分 成 8 个 16 位 于 
密 钥 。 这 些 是 算法 的 第 一 批 8 个 子 密 钥 〈 第 一 轮 六 个 ， 第 二 轮 的 头 两 
) 。 然 后 ， 密 钥 同 左 环 移 25 位 后 再 分 成 8 个 子 密 钥 。 开 始 4 个 用 在 第 二 
轮 ， 后 面 4 个 用 在 第 三 轮 。 密 钥 再 次 同 左 环 移 25 位 产生 为 外 8 个 子 密 钥 ， 
如 此 进行 直到 算法 结 


> 





解密 过 程 基 本 上 一 样 ， 只 是 子 密 钥 需要 求 逆 且 有 些微 小 差别 ， 解 密 
子 密 钥 要 么 是 加 密 子 密 钥 加 法 的 首要 么 是 乘法 的 逆 。 (对 IDEA 而 言 ， 
对 于 模 216 +1 乘 ， 全 0 子 分 组 用 216 =-1 来 表示 ， 因 此 0 的 乘法 逆 是 0) 。 计 
算 子 密 钥 要 花 点 时 间 ， 但 对 每 一 个 解密 密 钥 ， 只 需 做 一 次 。 表 13-4 给 出 








加 密 子 密 钥 和 相对 应 的 解密 子 密 钥 。 


表 13-4 _ IDEA 加密 和 解密 子 密 针 





轮 数 加 密 子 密 钥 解密 子 密 钥 
1 ZZ) ZV DD ZY Ze Z 9-1 — J, — Z ® Z, O17, (8) Ze 
2 ZZ, Z, JZ, J, Za 2) Z,®-1—Z, @) — Z,(® 7, 8-17.) 7 
3 Zi Z,O Zs Z,B ZB Ze 3 Z,P1—Z,M — ZO Z, 0-17, Z 
1 AN AE AE AA Zo Z,O-1 — Z, — AA Z,O-1 7.) Z 
Zy Zp Zs (5) Zy 5) Zs (5) Ze (5) Z 9-1 —Z, 9) — Z, (5) Z, 17, 4) Z 
6 ZZ, Zs) ZO Zs 06) 7, (6) Z, 91-759 —Z,0 Z, 0-17, Z 
7 Zi ZoP Zs hO ZO Ze Zi O-1 — Z,@ — ZB) A “1.7 42) Z 
8 Z;® Z,® Fa (8) Z, OZ, Z Ze Z2 —Z,2 Z727 Z V ZW 
输出 变换 ZI OZ ZZ, ZV-1— ZV — 7,0 Z, V! 


13.9.3 IDEA EE 


目前 软件 实现 的 IDEA 比 DES 快 两 倍 。 在 33MHz 386 机 器 上 IDEA 加 
密 数 据 速 率 达 880Kb/s， 在 66MHz 486 机 器 上 加 密 数 据 速率 达 2400Kby/s。 
你 可 能 认为 IDEA 将 很 快 ， 但 乘法 是 很 费时 的 ， 在 486 上 进行 两 个 32 位 数 
的 乘法 需要 40 个 时 钟 周期 〈 在 Pentium 上 需要 10 个 时 钟 周期 ) 。 


一 个 VLSI 实现 的 PES 在 25MHz 时 钟 下 加 密 数据 速率 达 55Mb/s [208、 
398」 。 由 ETH Zurich 开 发 的 另 一 种 VLSI 芯片 ， 在 107.8mm2 的 芯片 上 包 
含 了 251000 个 晶体 管 ， 当 时 钟 为 25MHz 时 ， 采 用 IDEA 算 法 加 密 数 据 速 
率 可 达 177Mb/s [926、207、397] 。 


13.9.4 IDEA 的 密码 分 析 


IDEA 的 密 钥 长 度 是 128 位 一 一 比 DES 长 两 倍 多 。 假 定 穷 举 攻击 是 最 
有 效 的 ， 那 么 为 获取 密 钥 需要 2128 (1038 ) 次 加 密 运 算 。 设 计 一 个 每 秒 
能 测试 10 亿 个 密 钥 的 芯片 ， 并 采用 10 亿 个 芯片 来 并 行 处 理 ， 它 将 花费 
1018 年 一 一 比 宇宙 的 年 龄 还 要 长 。1024 个 这 样 的 芯片 可 在 一 天 内 找 出 密 
钥 ， 但 在 宇宙 中 没有 足够 的 硅 原 子 可 用 来 建造 这 样 一 个 机 器 。 现 在 我 们 
正在 接近 某 个 目标 一 一 虽然 对 不 明 事 物 我 还 是 拭目以待 为 好 。 




















或 许 蛋 力 攻击 不 是 攻击 IDEA 的 最 好 方法 。 对 任何 确定 的 密码 分 析 
结果 来 说 ， 这 个 算法 太 新 了 。 设 计 者 已 经 尽力 使 这 个 算法 抗 差 分 密码 分 
析 ， 他 们 定义 了 马尔 科 夫 链 且 证 明了 能 抗 差分 攻击 的 模型 和 量化 大 小 
[931、925] (图 13-10 给 出 原始 的 PES 算 法 ， 将 它 与 图 13-9 中 增加 了 抗 差 
分 密码 分 析 的 IDEA 算 法 进行 比较 。 为 什么 一 点 微小 的 改变 能 导致 这 么 
大 的 差别 ， 真 令 人 惊奇 ) 。 在 文献 [925] 中 ，Lai 证 明 《〈 他 给 出 了 证 
据 ， 不 仅仅 是 一 个 证 明 ) ， 在 IDEA 的 8 轮 运算 中 第 4 轮 后 就 对 差分 密码 
分 析 有 人 免疫 了 。 按 照 Biham 所 述 ， 他 的 相关 和 密 钥 密码 攻击 对 IDEA 是 无 用 
的 [160] 。 











输出 变换 
me wee ari zo th 
Y, 


XX: 16 位 明文 子 分 组 

Y: 16 位 密 文 子 分 组 
ZO: 16 位 子 密 铀 

P: 16 位 子 分 组 的 相 异 或 
FA: 16 位 整数 的 模 2* 加 
O: 16 位 整数 与 2% 对 应 0 子 分 组 的 模 2*+1 乘 


图 13-10 PES 





Willi Meier 考 察 了 IDEA 的 3 个 代数 运算 ， 并 指出 它们 是 不 兼容 的 ， 
并 给 出 了 一 个 例子 ， 他 们 能 简单 地 以 该 方式 减少 密码 分 析 者 的 工作 量 几 
个 百分比 “1050」 。 对 2 轮 IDEA， 该 攻击 比 穷 举 攻击 更 有 效 〈 需 要 242 次 
运算 ) ， 但 对 3 轮 或 3 轮 以 上 的 IDEA， 该 攻击 是 无 效 的 。 正 常 的 IDEA 是 


8 轮 ， 因 而 它 是 安全 的 。 


Joan Daemen 发 现 了 IDEA 的 一 族 弱 密 钥 -496、409」 。 从 某 种 意义 来 
说 ， 扎 们 不 是 DES 弱 密 钥 意义 下 的 弱 密 钥 ， 即 加 密 函 数 是 目 逆 的 。 在 某 
种 意义 上 ， 它 们 又 是 弱 密 钥 ， 如 果 使 用 它们 ， 攻 击 者 使 用 选择 明文 攻击 
可 以 很 容易 识别 它们 。 例 如 ， 一 个 弱 密 钥 是 〈 十 六 进 制 ) : 








0000, 0000, 0x00, 0000, 0000, 000x, xxxx, x000 


在 <x" 位 置 的 数 可 以 是 任何 数 。 如 果 使 用 了 这 个 密 钥 ， 从 某 些 明文 
对 的 异 或 可 得 到 相应 密 文 对 的 异 或 。 








在 任何 情况 下 ， 偶 然 产生 这 些 密 钥 中 一 个 的 机 会 非常 小 ， 只 有 1/296 
。 如 果 随 机 选择 密 钥 ， 就 不 会 有 危险 。 同 时 很 容易 修改 IDEA 使 得 它 没 
有 任何 弱 密 钥 : 把 每 一 个 子 密 钥 与 0xdae 异 或 409」 。 


虽然 许多 人 都 在 分 析 IDEA， 但 我 还 未 听 到 其 他 有 关 IDEA 的 分 析 结 
Ro 


13.9.5 _ IDEA 的 操作 方式 和 变型 


IDEA 能 在 第 9 章 中 讨论 的 分 组 密码 的 任何 模式 中 使 用 。 与 DES 类 
似 ，2 重 IDEA 的 实现 似乎 易 受 中 间 相 遇 攻 击 〈 参 见 15.1 节 ) 。 然 而 ， 
为 IDEA 的 密 钥 长 度 大 于 DES 密 钥 长 度 两 们 多， 所 以 这 个 攻击 是 不 可 能 





的 。 它 将 需要 64x21” 位 或 10” 字 节 的 存储 空间 ， 也 许 宇宙 中 有 足够 的 
东西 可 产生 如 此 大 的 一 个 存储 设备 ， 但 我 对 此 持 怀疑 态度 。 


如 果 你 还 对 并 行 领域 感到 担忧 ， 那 么 采用 三 重 IDEA 实 现 ( 参 见 15.2 


T) : 


它 对 中 间 相 遇 攻 击 是 免疫 的 。 





这 里 没有 理由 限制 你 不 可 用 独立 子 密 钥 来 实现 IDEA， 此 时 你 需要 
一 个 密 钥 管 理工 具 来 处 理 这 样 长 的 密 钥 。 对 于 总 长 度 为 832 位 的 密 钥 ， 
IDEA 需 要 52 个 16 位 密 钥 。 这 个 变型 的 安全 性 比 IDEA 更 高 ， 但 没有 人 知 


道 能 局 到 多 少 。 


一 个 目 然 变 型 是 把 分 组 的 长 度 加 倍 。 这 个 算法 用 32 位 子 分 组 丛 换 16 
位 子 分 组 ， 并 使 用 256 位 密 钥 。 这 样 ， 加 蜜 操作 将 加 快 ， 安 全 性 将 增加 
B29? 倍 。 它 可 能 吗 ? 支撑 这 个 算法 的 理论 主要 基于 这 个 事实 : 2 +1 是 
RA, M22 +1 不 是 。 或 许 这 个 算法 经 修改 后 能 运行 ， 但 它 的 安全 性 将 
大 不 一 样 。Lai 说 使 它 运 行将 是 困难 的 。 








尽管 IDEA 比 DES 表 现 出 更 大 的 安全 性 ， 但 取代 一 个 当今 正在 使 用 
的 算法 是 不 容易 的 。 如 果 你 的 数据 库 和 消息 模板 接受 了 64 位 密 钥 ， 它 或 
许 就 不 可 能 实现 IDEA 的 128 位 密 钥 。 








对 这 些 应 用 ， 通 过 将 64 位 密 钥 自身 连接 起 来 形成 128 位 密 铀 。 记 
住 ， 经 这 样 修改 的 IDEA 被 明显 地 弱化 了 。 


如 果 你 更 多 地 关心 速度 和 安全 性 ， 你 可 以 考虑 更 少 轮 数 的 IDEA 变 
型 ， 现 在 比 穷 举 攻击 更 快 地 对 IDEA 的 攻击 仅 对 2.5 轮 或 更 少 轮 有 效 
[1050] 。4 轮 IDEA 是 目前 最 快 的 ， 它 刚好 是 安全 的 。 


13.9.6 ”敬告 使 用 者 


IDEA 是 一 个 相对 较 新 的 算法 ， 还 有 许多 问题 没有 解决 。IDEA 是 一 
个 群 吗 ? (Lai 认 为 不 是 l8 ) 有 破译 这 个 密码 的 方法 吗 ? IDEA 有 坚 
强 的 理论 基础 ， 但 随 着 时 间 的 流逝 ， 看 似 安全 的 算法 往往 会 被 新 的 密码 
分 析 方 法 破译 。 有 多 家 研究 组 织 和 军事 组 织 已 经 对 IDEA 进 行 密码 分 
析 。 他 们 中 无 任何 人 愿意 公开 他 们 可 能 成 功 破译 IDEA 的 结果 ， 但 将 来 
某 一 天 可 能 会 成 功 。 





13.9.7 专利 和 许可 证 


IDEA 在 欧洲 和 美国 已 获 专利 [1012、1013」 。 专 利 由 Ascom-Tech AG 
拥有 ， 对 非 商 业 用 途 没 有 专利 使 用 费 。 对 取得 这 个 算法 使 用 许可 证 感 兴 
趣 的 商业 用 户 可 以 与 以 下 地 址 联系 : Ascom Systec AG, Dept CMVV, 
Gewerbepark, CH-5506, Mägenwil ，Switzerland; 电话 : 





+4164565983; 传真 : +4164565990; Email: idea@ascom.ch. 


13.10 ”MMB 算法 


Joan Daemem 提 出 的 基于 模 乘 法 运算 的 分 组 密码 (Modular 
Multiplication-based Block cipher, MMB) 算法 对 IDEA 使 用 64 位 加 密 块 
提出 了 异议 。MMB 与 IDEA 基 于 相同 的 基础 理论 : 不 同 代数 群 的 混合 运 
算 。MMB 是 一 个 迭代 的 分 组 密码 算法 ， 它 主要 由 线性 步骤 〈( 异 或 和 密 
钥 应 用 ) 和 四 个 大 的 非 线性 可 逆 代 蔡 并 行 运 算 步 又 组 成 ， 这 些 代 蔡 由 春 
常数 因子 的 模 23 -1 乘 来 确定 。 得 到 的 是 一 个 既 有 128 位 密 铀 ， 又 有 128 
位 分 组 的 算法 。 


MMB 在 32 位 的 文本 子 分 组 (Xo; Xp, Xo, Xa ) 和 32 位 子 密 钥 
(Ko> Ky» Ky, Kg) 上 运算 。 这 使 此 算法 更 适合 在 当今 的 32 位 处 理 
器 上 实现 。 算 法 中 交 蔡 应 用 了 6 次 非 线性 函数 f 和 密 钥 异 或 运算 ， 算 法 过 
程 如 下 《所 有 下 标 模 4 运 算 ) : 





tj; 二 xX; 0k; ,1=0 2 3 
FRG RG ys) 

X; 二 XxX; 中 Ri ,i=0 B 3 
看) 

太一 六 四 Ri0 人 至 3 
Fy By sto itz 

Zi 一 BR, ,i1=0 B 3 
Faye 8y ote te) 

Xx; 二 xX; Oki 5t=0 B 3 
Ftp aly ws ss 

t=2; Okita i=0 B 3 


F6s or ve 


函数 { 有 3 步 : 


(1) x =c x; ，i=0 一 3 (如果 乘法 的 输入 为 全 1， 那 么 输出 也 为 全 


Eis 


(2) 如 果 xo 的 最 低 有 效 位 为 1， 那 么 xo =xo @C; 如 果 xs 的 最 低 有 


效 位 为 0， 那 么 x3 =x3 OC. 
(3) x, =x,_, ®x, DBX, i=0~3。 


运算 中 的 所 有 变量 下 标 将 模 4。 第 1) 步 中 的 乘法 运算 是 模 232 -1 
乘法 运算 。 对 这 个 算法 来 说 ， 如 果 第 二 个 运算 数 是 23 -1， 那 么 结果 就 





是 22 -1。 各 种 常数 是 〈 十 六 进 制 ) : 
C=2aaaaaaa 
co =025f1cdb 
C1 =2C0 
Cy = cy 
G= G 


常数 C 是 一 个 最 简单 的 具有 高 的 三 进 制 权重 的 常数 ， 最 低 有 效 位 为 
零 ， 且 没有 循环 对 称 性 。 常 数 co 具有 某 些 其 他 特性 。 为 了 抵抗 基于 对 称 
性 的 攻击 ， 常 数 ci co 和 cs 是 co 的 移 位 。 了 解 更 多 细节 ， 参 见 文 献 
[405] 。 


解密 是 一 个 逆 过 程 。 第 O 步 和 第 (3) 步 是 它们 自身 的 逆 。 第 
s=] —] 
(1) 步 用 和 i; ”替换 c; Co ”的 值 是 0dad4694。 


MMB 的 安全 性 


MMB 的 设计 保证 了 每 一 轮 具有 与 密 钥 无 关 的 扩散 特性 。 在 IDEA 
中 ， 扩 散 量 仅 与 特定 子 密 钥 的 某 些 扩展 相关 。 并 且 ，MMB 被 设计 成 没 
有 类 似 IDEA 的 弱 密 钥 。 








MMB 不 安全 “402」 ， 虽 然 没 有 公开 的 密码 分 析 ， 但 它 有 以 下 几 个 
原因 。 首 先 它 不 能 阻止 线性 分 析 ， 选 择 一 个 乘法 因子 可 阻止 差分 分 析 ， 
但 算法 的 设计 者 并 没有 意识 到 线性 分 析 。 


其 次 ，Eli Biham 有 一 个 有 效 的 选择 密 钥 攻击 (100! ， 该 攻击 揭露 
IH: 所 有 轮 是 相同 的 ， 使 用 的 密 钥 刚好 辐 左 环 移 32 位 。 再 次 ， 虽 然 
MMB 算 法 用 软件 实现 非常 有 效 ， 但 该 算法 在 硬件 中 的 实现 就 没有 DES 
AM 





Daemem 建 议 ， 任 何 对 MMB 算 法 改进 感 兴趣 的 人 应 当 首 先 对 模 整 数 
乘 进行 线性 密码 分 析 ， 并 选择 新 的 模 乘 因子 ， 然 后 对 每 一 轮 选择 不 同 的 
常数 C “402」 。 然 后 ， 通 过 增加 常数 到 每 一 轮 的 密 钥 中 以 去 掉 该 偏差 来 
达到 改进 密 钥 表 的 目的 。 设 计 者 并 没有 这 样 做 ， 而 是 重新 设计 了 3-Way 
算法 来 取代 它 〈 参 见 14.5 节 ) 。 





13.11 CA-1.1 算 法 


CA 是 由 Howard Gutowitz 设 计 的 基于 细胞 式 自动 机 的 一 种 分 组 密码 
算法 1677. 678. 679] 。 它 的 分 组 长 度 为 384 位 ， 密 钥 为 1088 位 〈 它 实际 
上 有 两 个 密 钥 ， 一 个 1024 位 密 钥 和 一 个 64 位 密 钥 ) 。 由 于 细胞 式 自动 机 
自身 的 性 质 ， 在 大 规模 并 行 集 成 电路 中 使 用 该 算法 最 为 有 效 。 





CA-1.1 采 用 了 可 道 的 和 不 可 逆 的 细胞 式 自动 机 规则 。 在 可 道 规则 

下 ， 网 络 的 每 一 个 状态 取决 于 一 个 唯一 的 前 导 状 态 ， 而 在 不 可 逆 规 则 

下 ， 每 个 状态 能 够 有 许多 前 导 状 态 。 在 加 密 过 程 中 ， 不 可 逆 法 则 准时 逆 
向 迭代 。 为 了 从 一 个 已 知 状态 回溯 ， 随 机 选择 一 个 可 能 的 前 导 状 态 。 这 
个 处 理 过 程 可 以 重复 多 次 。 回 溯 和 从 代 因此 可 用 于 将 消息 信息 与 随机 信息 
混合 。CA-1.1 采 用 了 一 种 特别 的 局 部 线性 不 可 逆 法 则 ， 其 作用 是 对 于 任 
何 已 给 定 的 状态 ， 可 快速 建立 它 的 一 个 随机 前 导 状 态 。 可 逆 法 则 也 用 于 


某 些 加 密 阶 段 。 














可 逆 法 则 《对 状态 子 分 组 的 简单 并 行 置换 ) 是 非 线性 的 。 不 可 逆 法 
则 完全 可 以 从 密 钥 信息 中 推导 出 来 ， 而 可 逆 法 则 既 取 决 于 密 钥 信息 叉 取 
决 于 用 不 可 逆 法 则 加 密 期 间 各 阶段 插入 的 随机 信息 。 





CA-1.1 建 立 在 分 组 链接 的 结构 上 。 也 就 是 说 ， 消 息 分 组 的 处 理 将 从 
加 密 期 间 插 入 的 随机 信息 序列 的 处 理 中 部 分 地 分 离 出 来 。 随 机 信息 的 作 


用 是 将 每 个 阶段 加 密 链接 到 一 起 。 它 也 能 用 于 将 一 系列 分 组 的 加 密 链接 
到 一 起 。 链 接 中 的 信息 在 加 密 部 件 内 产生 。 





CA-1.1 是 一 个 新 算法 ， 在 安全 性 方面 做 任何 断言 还 为 时 过 早 。 
Gutowitz 讨 论 了 某 些 可 能 的 攻击 ， 包 括 差 分 密码 分 析 ， 但 它们 都 不 能 破 
译 这 个 算法 。 作 为 奖励 ，Gutowitz 愿 提供 1000 美 元 资金 给 “研究 出 一 种 破 


译 CA-1.1 可 行 方法 的 第 一 个 人 ”。 








专利 和 许可 证 








CA-1.1 有 专利 “6784 ， 但 它 对 任何 非 商业 使 用 是 免费 的 ， 对 获得 算 
法 的 使 用 授权 或 密码 分 析 奖 金 感 兴趣 的 人 可 与 以 下 地 址 联系 : Howard 
Gutowitz, ESPCI, Laboratore d’ Electronique ，10 rue Vauquelin, 


75005, Paris, France. 


13.12 ”Skipjack 算 法 


Skipjack 是 NSA 为 Clipper 和 Capstone 心 片 开发 的 加 密 算 法 〈 见 24.16 
节 和 24.17 节 ) 。 由 于 该 算法 被 归 入 秘密 类 ， 所 以 它 的 细节 从 未 公开 。 
它 仅 以 防 审改 的 硬件 实现 。 


该 算法 是 保密 的 ， 但 这 并 不 能 增强 它 的 安全 性 ， 因 为 NSA 并 不 打算 
将 Skipjack 算 法 使 用 在 Clipper 密 钥 托管 机 制 以 外 ， 他 们 也 不 打算 将 该 算 
法 以 软件 实现 并 在 世界 上 广泛 传播 。 





Skipjack 算 法 安全 吗 ? 如果 NSA 打 算 设 计 一 个 安全 算法 ， 它 们 能 够 
做 到 。 男 一 方面 ， 如 果 他 们 打算 设计 一 个 有 陷 门 的 算法 ， 他 们 也 能 做 
到 。 


以 下 是 已 公开 的 部 分 “1154，462、: 
' 它 是 一 个 迭代 的 分 组 密码 算法 。 
它 的 分 组 大 小 为 64 位 。 

它 的 密 钥 为 80 位 。 


. 它 可 用 于 ECB、CFB、64 位 OFB 或 1、8、16、32 及 64 位 CBC 等 任意 
一 种 模式 。 





:NSA 声 明 该 算法 在 1985 年 开始 设计 ，1990 年 完成 了 对 它 的 评价 。 


在 Mykotronx Clipper 心 片 说 明 书 中 说 ，Skipjack 算 法 的 运算 时 间 为 
64 个 时 钟 周期 ， 这 意味 着 每 一 轮 仅 有 两 个 时 钟 周 期 :猜想 一 个 用 于 S 盒 
替换 ， 另 一 个 用 于 轮 结束 时 的 异 或 〈 记 住 ， 置 换 在 硬件 实现 时 不 需要 时 
间 ) 。MYykotronx 说 明 书 调用 这 两 个 时 钟 周期 来 运算 “G 盒 "以 及 “ 移 
位 ”〈G 盒 的 一 部 分 称 为 F 表 ， 可 能 是 一 个 常数 表 ， 也 可 能 是 一 个 函数 
He) 











据说 Skipjack 使 用 了 16 个 S 盒 ， 另 外 存储 S 盒 需要 的 总 存储 量 为 128 字 
节 ， 不 希望 这 两 个 说 法 是 真 的 。 


男 一 种 说 法 是 : 不 同 于 DES，Skipjack 轮 函数 并 不 是 以 数据 分 组 的 
一 半 来 进行 运算 。 结 合 “ 移 位 ” 记 写 和 在 Crypto’94 会 议 上 的 偶然 声明 ， 
Skipjack 有 “一 个 48 位 内 部 结构 ”"， 这 意味 着 它 与 SHA 设 计 类 似 参见 18.7 
W) ， 但 它 用 了 4 个 16 位 分 组 : 3 个 分 组 通过 相关 密 钥 的 单 癌 函数 产生 一 
个 16 位 分 组 ， 该 分 组 与 剩 下 的 一 个 分 组 相 异 或 ;然后 整个 分 组 环 移 16 位 
变 成 下 一 轮 的 输入 ， 这 也 意味 着 128 字 节 的 S 盒 。 我 猜想 S 盒 与 密 钥 有 
Ko 














Skipjack 的 结构 可 能 类 似 DES，NSA 意 识 到 了 防 窜改 的 硬件 最 终 将 
是 逆向 工程 ， 他 们 不 会 用 任何 先进 的 密码 技术 来 冒险 。 


NSA 正 计划 用 Skipjack 算 法 加 密 他 们 的 防御 信息 系统 CDMS) ， 该 
事实 说 明 该 算法 是 安全 的 。 为 了 取消 这 个 怀疑 ，NIST 已 宣称 “将 向 政府 
以 外 的 有 声望 的 专家 提供 接触 该 算法 机 密 细节 的 机 会 ， 以 评价 它 的 性 
能 ， 并 公开 报告 对 它 的 发 现 ”[812] 。 


这 些 专家 的 初步 报告 包括 〈 从 未 有 最 终 报告 ， 可 能 永远 没有 ) 
[262] , 


假定 处 理 能 力 的 成 本 每 十 八 个 月 降低 一 半 ， 仍 需要 36 年 的 时 间 ， 用 
穷 举 搜索 破译 Skipjack 的 难度 才 可 能 等 于 今天 破译 DES 的 难度 。 因 此 ， 
在 今后 30 一 40 年 中 ， 用 穷 举 搜索 将 不 会 对 Skipjack 构 成 明显 威胁 。 


用 捷径 的 攻击 方法 (包括 差分 密码 分 析 〉 破译 Skipjack 也 不 会 构成 
很 大 威胁 。 它 没有 弱 密 钥 ， 没 有 互补 特性 。 这 些 专家 没有 时 间 更 深入 地 
评价 这 个 算法 ， 只 评价 了 NSA 自 己 的 设计 和 评价 过 程 。 





Skipjack 对 密码 分 析 的 攻击 强度 不 依赖 于 算法 的 保密 。 


当然 ， 评 测 小 组 专家 没有 足够 长 的 时 间 来 得 出 自己 的 结论 ， 他 们 仅 
能 查看 NSA 给 他 们 的 结 





一 个 不 能 回答 的 问题 是 Skipjack 算 法 的 密 钥 空间 是 否 均 匀 (参见 8.2 
节 ) ， 甚 至 如 果 Skipjack 没 有 类 似 DES 的 弱 密 钥 ， 密 钥 编制 算法 的 某 些 
结构 能 使 某 些 密 钥 比 其 他 密 钥 强 。Skipjack 有 270 个 强 密 钥 ， 远 多 于 


DES， 随 机 选择 一 个 强 密 钥 的 概率 为 1000。 我 个 人 认为 Skipjack 算 法 的 


密 钥 空间 是 均匀 的 ， 但 没有 一 个 人 曾 公 开 说 过 这 个 结论 是 错误 的 。 





Skipjack 算 法 有 专利 ， 但 这 个 专利 正 受 限于 专利 秘密 协商 的 分 发 
L1122] 。 当 且 仅 当 Skipjack 算 法 成 功 地 实现 逆向 工程 时 ， 该 专利 才能 
布 。 这 样 既 保 护 了 专利 ， 又 保证 了 商业 秘密 的 保密 性 。 


第 14 章 ”其 他 分 组 密码 算法 〈 续 ) 


14.1 GOST 算 法 


GOST 是 苏联 设计 的 分 组 密码 算法 “655、1393」 ，GOST 是 
Gosudarstvennyi Standard 或 Government Standard 的 缩写 ， 它 除了 泛 指 任 
何 标 准 外 ， 其 实 类 似 于 FIPS。“【 实 际 上 ， 全 名 是 Gosudarstvennyi 
Standard Soyuza SSR 或 Government Standard of the Union of Soviet 
Socialist Republics. ) 该 标准 的 编写 为 28147-89。USSR (JEK) 的 政府 
标准 会 议 授 予 了 该 标准 。 


我 不 知道 GOST 2817-89 是 侣 使 用 在 传统 的 交通 或 民用 加 密 中 ， 该 算 
法 的 初始 陈述 中 表明 : 该 算法 “满足 所 有 的 密码 需求 且 对 保护 的 信息 没 
有 任何 限制 ”， 我 听 说 该 算法 开始 用 在 级 别 非 常 高 的 通信 中 ， 包 括 典 型 
的 军事 通信 ， 但 我 还 不 能 肯定 。 





14.1.1 GOST 的 描述 


GOST 是 一 个 64 位 分 组 及 256 位 密 钥 的 分 组 密码 算法 ，GOST 也 有 一 
些 附加 的 密 铀 ， 这 将 在 后 面 讨 论 。 该 算法 是 一 个 32 轮 的 简单 迭代 加 密 算 
法 。 


加 密 时 ， 首 先 把 输入 分 成 左 半 部 分 L 和 右 半 部 分 R， 第 i 轮 的 子 密 铀 
为 K; ，GOST 的 第 i 轮 为 : 


L; = Ry, 
R; = Le 中 三 (下 -1 »K;) 


选择 一 个 子 密 钥 























图 14-1 ” GOST 算法 








图 14-1 给 出 了 GOST 算 法 的 框图 ， 函 数 f 是 直接 的 。 首 先 ， 右 半 部 分 
与 第 轮 的 子 密 钥 进 行 模 232 加 ， 该 结果 分 成 8 个 4 位 分 组 ， 每 个 分 组 作为 
不 同 的 S 盒 的 输入 ， 在 GOST 中 使 用 了 8 个 不 同 的 S 盒 ， 第 一 个 4 位 进入 第 


一 个 S$ 盒 ， 第 二 个 4 位 进入 第 二 个 S 盒 ， 以 此 类 推 。 每 个 S 盒 是 数 0 一 15 的 


一 个 置换 。 例 如 ，S 盒 可 能 
7, 10, 23 4, 15, 9, 0, 3; 6, 12, By 13, T; 8, 11 


在 这 种 情况 下 ， 如 果 S 盒 的 输入 为 0， 那 么 输出 为 7;， 如 果 输 入 为 1， 
那么 输出 为 10 等 。 所 有 8 个 S 盒 都 不 同 ， 这 些 被 认为 是 附加 的 密 钥 。5 盒 
是 保密 的 。 


8 个 S 盒 的 输出 重组 为 32 位 字 ， 然 后 整个 字 循 环 左 移 11 位 。 最 后 ， 该 
结果 与 左 半 部 分 异 或 变 为 新 的 右 半 部 分 ， 原 右 半 部 分 变 为 新 的 左 半 部 
分 ， 将 此 操作 重复 进行 32 次 。 








子 密 钥 的 产生 很 简单 ，256 位 密 钥 划分 为 8 个 32 位 分 组 : Kjo K, 
...，K8 。 每 一 轮 使 用 表 14-1 给 出 的 不 同 子 密 钥 ， 除 了 密 钥 Ki 逆序 外 ， 


表 14-1 在 GOST 不 同 轮 中 使 用 的 子 密 铀 


1 6 8 

了 密 钥 :1 2 3 1 5 6 7 8 1 
) 1 

8 





轮 数 ， 17 18 19 2( 21 


子 密 铀 ， 1 2 3 4 5 6 

GOST 标 准 并 没有 讨论 怎样 产生 S 盒 ， 它 们 仅 提 供 了 S 盒 [655」 。 有 
一 个 说 法 : 某 些 苏联 机 构 将 好 的 S 盒 提供 给 他 们 喜欢 的 机 构 ， 而 将 坏 的 $ 
盒 提 供给 他 们 打算 破译 的 机 构 。 虽 然 这 个 说 法 非常 可 能 是 真实 的 ， 但 与 
俄罗斯 的 GOST 芯 片 制造 商 的 进一步 交谈 给 出 了 另 一 种 说 法 ， 他 们 用 随 








机 数 发 生 器 自己 产生 S 盒 置换 。 


最 近 ， 一 组 S 盒 用 于 俄罗斯 联邦 中 央 银 行 ， 这 些 S 盒 也 使 用 在 GOST 
的 单 向 散 列 函 数 中 (参见 18.11 节 )〉) 1657] 。 它 们 列 出 在 表 14-2 中 。 


表 14-2 GOST 的 S 盒 


14.1.2 GOST 的 密码 分 析 


在 GOST 和 DES 之 间 有 以 下 几 个 主要 区 别 : 


在 DES 中 ， 从 密 钥 产生 子 密 钥 的 过 程 比较 复杂 ， 而 GOST 的 过 程 非 


.DES 有 56 位 密 钥 ， 而 GOST 有 256 位 密 钥 。 如 果 你 把 S 合 置换 保密 ， 


GOST 将 有 610 位 的 秘密 信息 。 


.DES 的 S 盒 是 6 位 输入 和 4 位 输出 ， 而 GOST 的 S 盒 是 4 位 输入 和 4 位 输 
出 。 这 两 个 算法 都 有 8 个 S 盒 ， 但 GOST 的 S 盒 的 大 小 仅 为 DES 的 S 盒 的 1 / 


4。 


-DES 有 一 个 非 正规 的 置换 ， 称 为 P 合 ， 而 GOST 有 一 个 11 位 的 循环 
左 移 。 


.DES 有 16 轮 ， 而 GOST 有 32 轮 。 


除了 穷 举 攻击 外 ， 还 没有 发 现 更 好 的 攻击 GOST 的 方法 ， 它 是 一 个 
非常 安全 的 算法 。GOST 有 256 位 密 钥 一 -加 上 秘密 的 S 盒 将 更 长 。 在 抗 
差分 攻击 和 线性 攻击 中 ，GOST 比 DES 强 。 虽 然 GOST 的 随机 S 盒 可 能 比 
DES 的 固定 S 盒 弱 ， 但 它 增强 了 GOST 阻 止 差 分 攻击 和 线性 攻击 的 性 能 。 
这 两 个 攻击 也 依赖 于 轮 数 : 轮 数 越 多 ， 攻 击 就 越 困 难 。GOST 的 轮 数 是 
DES 的 两 倍 ， 这 就 可 能 使 差分 攻击 和 线性 攻击 失败 。 


GOST 的 其 他 部 分 要 么 与 DES 中 的 安全 性 等 价 ， 要 么 比 DES 中 的 
坏 。GOST 没 有 使 用 DES 中 的 扩展 置换 ， 从 DES 中 删除 置换 可 以 降低 雪 
崩 效 果 从 而 使 它 变 得 更 弱 。 有 理由 认为 没有 置换 的 GOST 更 弱 。GOST 
使 用 加 法 取代 DES 异 或 并 没有 降低 安全 性 。 


它们 之 间 的 更 大 差别 似乎 是 GOST 的 循环 移 位 取代 了 置换 。DES 的 


置换 增加 了 雪 骨 效果。 在 GOST 中 改变 一 个 输入 位 将 影响 一 轮 中 的 一 个 S 
盒 ， 然 后 将 影响 下 一 轮 的 两 个 S 盒 ， 然 后 是 3 个 S 盒 ..….. 在 GOST 中 ， 改 
变 一 个 输入 位 要 影响 所 有 的 输出 位 需要 8 轮 ，DES 仅 需要 5 轮 。 这 肯定 是 


一 个 弱点 ， 但 记 住 : GOST 有 32 轮 ， 而 DES 仅 有 16 轮 。 


GOST 的 设计 者 打算 在 有 效 性 和 安全 性 之 间 达 到 平衡 ， 他 们 修改 了 
DES 的 基本 设计 以 便 产 生 一 个 更 适宜 于 软件 实现 的 算法 。 他 们 似乎 对 算 
法 的 安全 性 没有 信心 ， 因 此 通过 增 大 密 钥 长 度 、 对 S 盒 保密 、 增 加 加 密 
轮 数 来 尽量 去 掉 这 个 弱点 。 不 管 他 们 努力 的 结果 如 何 ， 我 们 已 经 看 到 了 
比 DES 更 安全 的 算法 。 


14.2 CASTE 





CAST 算 法 是 加 拿 大 的 Carlisle Adams 和 Stafford Tavares 设 计 的 [10 
7l 。 他 们 声明 : 该 命名 涉及 他 们 的 设计 过 程 ， 并 体现 随机 性 的 设想 ， 
但 注意 这 并 不 是 设计 者 的 初 意 。 一 个 CAST 算 法 的 示例 使 用 了 64 位 分 组 
和 64 位 密 钥 。 





CAST 算 法 的 结构 也 很 类 似 ， 该 算法 使 用 了 6 个 8 位 输入 和 32 位 输出 
的 S 盒 ，S 盒 的 构造 是 与 实现 相关 的 ， 并 且 很 复杂 。 详 情 看 参考 资料 。 


加 密 时 ， 首 先 把 明文 分 组 分 成 左 半 部 分 和 右 半 部 分 。 这 个 算法 使 用 
了 8 轮 ， 在 每 一 轮 中 ， 右 半 部 分 和 密 钥 经 过 函数 { 形 成 的 输出 值 与 左 半 部 
分 异 或 形成 新 的 右 半 部 分 ， 原 右 半 部 分 变 成 新 的 左 半 部 分 。 在 8 轮 后 
《在 8 轮 后 左 、 碳 部 分 不 交换 ) ， 将 两 部 分 并 起 来 形成 密 文 。 





函数 {f 很 简单 : 


C1) 把 32 位 输入 分 成 4 个 8 位 分 组 : a, by cy de 


(2) 把 16 位 子 密 钥 分 成 2 个 8 位 子 密 铀 : e fo 


(3) 把 a 通 过 S 盒 1， 把 b 通 过 S$ 盒 2， 把 c 通 过 S 盒 3， 把 d 通 过 S 盒 4， 
把 e 通 过 S 盒 5， 把 {f 通 过 S 盒 6。 


(4) 把 6 个 S 盒 的 输出 进行 异 或 形成 最 终 的 32 位 输出 。 


另外 ，32 位 输入 也 可 与 32 位 密 钥 进行 异 或 ， 分 成 4 个 8 位 分 组 ， 通 过 
S 盒 ， 然 后 异 或 到 一 起 “7 。 该 方法 的 N 轮 似乎 与 原 选择 的 N+2 轮 有 相 
同 的 安全 性 。 


在 每 一 轮 中 使 用 的 16 位 子 密 钥 很 容易 从 64 位 密 钥 计算 出 ， 如 果 K1 
> Kos o Kg 是 64 位 密 钥 的 8 个 字 节 ， 那 么 每 一 轮 的 子 密 钥 为 : 


第 1 轮 : Ki; K, 
ns Kz, Ky 
第 3 轮 : Ky» Ke 
Bake: Ky Ka 
第 5 轮 : Ky, Ky 
第 6 轮 : Ky, Ky 
第 7 轮 : Kg,» K3 
第 8 轮 : Kg Ks 


这 个 算法 的 强度 依赖 于 S$ 盒 ，CAST 算 法 没有 固定 的 S 盒 ， 对 每 一 次 
应 用 都 需要 一 个 新 的 S 盒 。S 盒 的 设计 准则 见 文 献 C10] 。bent 函 数 是 $ 


盒 的 列 ， 它 是 从 满足 S 盒 的 特性 中 选择 出 来 的 《参见 14.10 节 ) 。 对 于 给 
定 的 CAST 实 现 ， 一 旦 一 组 S 盒 构造 出 来 了 ， 它 将 固定 下 来 ， 这 些 S 盒 与 
实现 相关 ， 但 与 密 钥 不 相关 。 





在 文献 L10] 中 证 明了 CAST 算 法 能 抗 差 分 攻击 ， 在 文献 L728] 中 
证 明了 CAST 算 法 能 抗 线性 攻击 。 还 不 知道 比 穷 举 攻击 更 有 效 地 攻击 
CAST 算 法 的 方法 。 


北方 电信 (Northen Telecom) 正 把 CAST 算 法 作为 Macintosh、PC、 
UNIX 工 作 站 上 的 可 信安 全 软件 包 。 它 们 选择 的 特定 S 盒 未 公开 。 加 拿 大 
政府 正在 评估 CAST 算 法 ， 打 算 作 为 新 的 加 密 标准 。CAST 算 法 的 专利 问 
题 还 没有 解决 。 


14.3 ”Blowfish 算 法 


Blowfish 是 我 自己 设计 的 算法 ， 目 标 是 用 大 的 微 处 理 器 实现 【1388、 
1389] ， 该 算法 是 非 专利 的 ， 本 书后 面 的 C 代 码 是 公开 的 。Blowfish 的 设 
计 准 则 如 下 : 


(1) 快速 。Blowfish 在 32 位 微 处 理 器 上 的 加 和 密 速 度 达 到 每 字 节 26 个 
时 钟 周期 。 


(2) 紧凑 。Blowfish 能 在 容量 小 于 5K 的 存储 右 中 运行 。 








(3) 简单 。Blowfish 仅 使 用 了 一 些 简单 运算 : 基于 32 位 的 加 、 措 或 
和 查 表 。 它 的 设计 容易 分 析 ， 且 可 阻止 它 的 错误 实现 [13911 。 


(4) 可 变 的 安全 性 ，Blowfish 的 密 钥 长 度 是 可 变 的 ， 且 能 达到 448 





在 密 钥 不 需要 经 常 更 改 的 应 用 中 ， 如 通信 连接 和 自动 文件 加 密 器 ， 
Blowfish 是 最 优秀 的 一 个 算法 ， 当 在 32 位 具有 大 内 存 〈 如 Pentium 和 
PowerPC) 的 微 处 理 右 上 实现 时 ， 其 速度 比 DES 快 得 多 。Blowfish 不 天 
合 于 分 组 交换 、 经 常 更 换 密 钥 和 单 向 函数 中 。 它 需要 大 的 存储 器 ， 使 得 
它 不 能 有 效 地 在 智能 卡 应 用 中 实现 。 





14.3.1 Blowfish 的 描述 


Blowfish 是 一 个 64 位 分 组 及 可 变 密 钥 长 度 的 分 组 密码 算法 ， 算 法 由 
两 部 分 组 成 : 密 钥 扩展 和 数据 加 密 。 密 钥 扩 展 把 长 度 可 达到 448 位 的 密 
钥 转 变 成 总 共 4168 字 市 的 多 个 子 密 钥 组 。 


数据 加 密 由 一 个 简单 函数 迭代 16 轮 ， 每 一 轮 由 密 钥 相关 的 置换 、 密 
钥 相 关 和 数据 相关 的 代 蔡 组 成 。 所 有 的 运算 都 是 32 位 字 的 加 法 和 腊 或 ， 
只 有 的 一 个 运算 是 每 轮 的 4 个 索引 组 数据 碍 表 。 


Blowfish 使 用 了 大 量 的 子 密 钥 ， 这 些 密 钥 必须 在 加 密 和 解密 之 前 进 
行 预计 算 。 


P 数 组 由 18 个 32 位 子 密 钥 组 成 : 


4 个 32 位 的 S 盒 ， 每 个 有 256 个 单元 : 





图 14-2 ”Blowfish 算 法 


S107 51, TY Op 03 dary: Of 255 


S2, 0° S2, 1? 92, 2% ++? 52, 255 


53, 0° 93, 1° 93, 2° «++ 93, 255 


54,07 54,17 94, 2> ++? S4, 255 





这 些 子 密 钥 的 计算 方法 将 在 本 节 的 后 面 介 绍 。 


Blowfish 是 一 个 由 16 轮 构成 的 Feistel 结 构 〈 参 见 14.10 节 ) 。 


64 位 数据 x， 加 密 过 程 为 〈 见 图 14-2) : 
把 x 分 成 32 位 的 两 部 分 : xp > Xp 


对 于 1 二 1 至 16 
xL 5x, OP; 
tr =F(xr)® xe 
交换 x, 和 xzr( 最 后 一 轮 取消 该 运算 ) 
nmin DP 
zı =x, ® Pz 
重新 合并 zr Marr 


函数 FE 为 〈 见 图 14-3) : 


输 


入 


日 
KE 


把 zi 分 成 4 个 8 位 分 组 :a.b、c 和 4a 
WEF =S Sna mod 2”)@ S;,.)+S.,4 mod 2” 


解密 时 ， 除 了 Pl Pas Pas coo Pig 以 逆序 使 用 外 ， 与 加 密 相 同 。 


要 求 更 局 速 Blowfish 的 实现 将 把 达 代 展开 并 确保 所 有 的 子 密 钥 都 存 
储 在 高 速 内 存 中 ， 详 情 见 文献 L568] 。 





图 14-3 ŽEF 


Blowfish 算 法 中 子 密 钥 的 计算 过 程 如 下 : 
(1) 初始 化 P 数 组 ， 然 后 是 4 个 S 盒 及 固定 的 串 。 这 些 串 由 p 的 十 六 
进 制 数组 成 。 
(2) 用 密 钥 的 第 一 个 32 位 与 P; 异 或 ， 用 密 钥 的 第 二 个 32 位 与 P, 异 


或 ， 以 此 类 推 ， 直 到 密 钥 的 所 有 位 《直到 Pis ) 。 周 期 性 地 循环 窗 钥 的 
所 有 位 直到 整个 P 数 组 与 密 钥 异 或 完 为 止 。 


(3) 利用 Blowfish 算 法 加 密 全 零 串 ， 其 密 钥 为 在 第 〈1) 步 和 第 
(2) 步 中 描述 的 子 密 钥 。 


(4) 用 第 (3) 步 的 输出 取代 P; MP, o 


(5) 利用 Blowfish 算 法 加 密 第 (3) 步 的 输出 ， 其 密 钥 为 修改 过 的 
子 密 钥 。 


(6) 用 第 (5) 步 的 输出 取代 Ps FIP, o 


(7) 重复 上 述 操作 ， 直 到 P 数 组 的 所 有 元 素 及 4 个 S 盒 全 部 被 连续 变 
化 的 Blowfish 的 输出 所 取代 。 


为 了 产生 所 需要 的 全 部 子 密 铀 ， 总 共 需 要 人 迭代 512 次 。 在 应 用 时 这 
些 子 密 钥 全 部 被 存储 下 来 一 一 不 需要 多 次 执行 推导 过 程 。 





14.3.2 ”Blowfish 的 安全 性 





Serge Vaudenay 检 查 了 已 知 S 盒 的 r 轮 Blowfish 算 法 ， 能 恢复 P 数 组 的 
差分 攻击 需要 28r1 个 选择 明文 “1568」 。 对 某 些 弱 密 钥 产 生 的 S 盒 〈 随 
机 选择 的 概率 为 11214 ) 能 恢复 P 数 组 的 差分 攻击 共 需 要 24r#1 个 选择 明 
文 。 对 未 知 的 S 盒 ， 这 种 攻击 能 探测 出 是 否 使 用 了 弱 密 钥 ， 但 不 能 确定 
该 密 钥 的 值 〈 既 不 能 求 出 S 盒 也 不 能 求 出 P 数 组 ) 。 这 个 攻击 仅 能 对 减少 
轮 数 的 S 盒 有 效 ， 对 16 轮 的 Blowfish 完 全 无 效 。 





当然 ， 弱 密 钥 的 发 现 是 有 意义 的 ， 甚 至 虽然 它们 似乎 不 能 揭示 有 用 
的 东西 。 弱 密 钥 就 是 对 给 定 的 S 盒 ， 它 的 两 个 元 素 是 相同 的 ， 在 没 做 密 
钥 扩 展 之 前 没有 办 法 来 探测 弱 密 铀 ， 如 有 果 你 担心 的 话 ， 那 么 必须 做 密 铀 
扩展 ， 并 检查 相同 的 S 盒 元 素 。 尽 管 如 此 ， 我 并 不 认为 有 这 个 必要 。 














我 还 不 知道 有 针对 Blowfish 的 成 功 的 密码 分 析 ， 为 了 安全 ， 不 要 使 
用 减少 轮 数 的 Blowfish 算 法 。 


Ken Marsh 公 司 已 把 Blowfish 算 法 用 在 为 Microsoft Windows 和 
Macintosh 生 产 的 FolderBolt 安 全 产品 中 。 它 也 是 Nautilus 和 PGPfone 中 的 


一 部 分 。 


14.4 SAFER 算法 


SAFER K-64 表示 有 64 位 密 钥 的 安全 和 快速 加 密 算法 -1009」 。 
James Massey 为 Cylink 公 司 设计 了 这 个 非 专利 性 的 算法 ， 并 在 他 们 的 产 
癌 中 使 用 了 这 个 算法 。 新 加 坡 政 府 打算 将 128 位 密 钥 的 该 算法 使 用 到 更 
大 范围 的 应 用 中 HO 。 这 个 算法 没有 专利 、 版 权 或 其 他 使 用 限制 。 


这 个 算法 的 分 组 长 度 和 密 钥 长 度 第 为 64 位 。 它 不 属于 DES 类 的 
Feistel 结 构 〈( 参 见 14.10 市 )， 但 它 是 一 个 达 代 的 分 组 密码 算法 : 相同 的 
函数 用 于 某 些 轮 中 ， 每 一 轮 使 用 了 两 个 64 位 子 密 钥 ， 且 该 算法 面 癌 字 市 
算 。 


(ni 


14.4.1 SAFER K-64 的 描述 


明文 分 组 划分 为 8 字 节 长 度 的 子 分 组 : By, By. .... By,» Bgo & 
后 这 些 子 分 组 进行 r 轮 运算 ， 最 后 使 用 一 个 输出 变换 。 每 一 轮 使 用 两 个 
TAH: Kz 和 K2i 。 

图 14-4 给 出 了 SAFER K-64 算法 的 框图 ， 首 先 子 分 组 与 子 密 钥 Ky_1 
， 要 人 么 进行 字 节 异 或 ， 要 么 进行 字 市 加 法 ， 然 后 8 个 子 分 组 进入 下 列 两 
个 非 线 性 变换 之 一 : 


y= 45" mod 25 人 三 采 z = 128,42 y = 0) 
y = logis: (Rx =0,984% y = 128) 








这 些 运 算 在 有 限 域 GF (257) 上 进行 ，45 是 该 域 的 本 原 元 ， 在 
SAFERK-64 的 实现 中 ， 以 碍 表 的 方式 实现 这 两 个 运算 比 每 次 开始 计算 快 


然后 ， 子 分 组 与 子 密 钥 Ky; 要 么 进行 字 节 异 或 ， 要 么 进行 字 节 加 
法 ， 这 些 运算 的 结果 进入 三 层 线性 运算 中 ， 设 计 三 层 线性 运算 的 目的 是 
为 了 增加 雪 骨 效应。 每 一 次 运算 称 为 伪 哈 达 码 变换 (Pseudo-Hadamard 
Transform, PHT) ， 如 果 对 PHT 的 输入 为 ai 和 a, ， 那 么 输出 为 : 








b, = (2a, +a, ) mod 256 
b, = Cay 十 ap ) mod 256 


在 r 轮 后 ， 有 一 个 最 终 和 输出 变换 ， 它 与 每 一 轮 的 前 面 步 又 是 相同 
的 。B, By» B; 和 B。 与 最 后 子 密 钥 的 相应 字 节 异 或 ，B, ，B。，B 和 
B, 与 最 后 子 密 钥 的 相应 字 节 相 加 。 其 结果 为 密 文 。 





输入 8 字 节 ) 












































45“ log4; log,s 45” 45 logss logss 459 
| 加 异 或 异 或 加 加 异 或 异 或 加 -一 
2-PHT 2-PHT 2-PHT 2-PHT 
_ a en 
SS 
2-PHT 2-PHT 2-PHT 2-PHT 
ee eee 
ee es 
| 2-PHT | 2-PHT | 2-PHT | | 2-PHT | 
1 2 3 4 5 6 7 8 
输出 〈8 字 节 ) 


图 14-4 SAEFER 算 法 


解密 过 程 是 一 个 逆 过 程 : 输出 变换 (用 减 蔡 换 加 ) ， 然 后 r 轮 逆 运 
算 。 逆 PHT (IPHT) X: 


dl = (bi -bə ) mod 256 


ao = (-b, +2b, ) mod 256 


Massey 推 荐 使 用 6 轮 ， 但 你 如 果 需 要 更 大 的 安全 性 ， 可 以 增加 轮 
数 。 


产生 子 密 钥 的 方法 很 简单 ， 第 一 个 子 密 钥 Ki 即 为 用 户 选择 的 密 


铀 ， 后 面 的 子 密 钥 通过 下 列 方程 产生 : 


-> 


K; = (Ki <<<3i) +c 


符号 <<< 表 示 循 环 左 移 ， 循 环 逐 字 节 进行 。ci 是 轮 和 常数， 如 果 ci 古 
第 轮 常 数 的 第 j 个 字 节 ， 那 么 可 以 通过 以 下 公式 计算 所 有 的 轮 常 数 : 


ci =4545^ ( (9i+j) mod 256) mod 257) mod 257 


一 般 情 况 下 ， 这 些 值 存储 在 表 中 。 
14.4.2 SAFER K-128 


SAFER K-128 是 由 新 加 坡 内 政 部 开发 的 男 一 个 密 钥 编制 算法 ， 然 后 
通过 Massey 把 它 加 入 到 SAFER 中 [1010] 。 它 使 用 了 两 个 密 钥 K。 和 Kp 
， 每 个 都 是 64 位 长 ， 方 法 是 并 行 地 产生 两 个 子 密 钥 序列 ， 然 后 交 蔡 地 使 
用 每 个 子 密 钥 序列 ， 这 就 意味 着 如 果 你 选择 K。 =Kb ， 那 么 128 位 密 钥 与 
64 位 密 钥 兼容 。 


14.4.3 SAFER K-64 的 安全 性 


Massey 证 明了 SAFER K-64 在 8 轮 后 可 抗 差 分 攻击 ， 在 6 轮 后 对 差分 
攻击 来 说 也 是 相当 安全 的 ， 在 仅 3 轮 后 线性 分 析 对 该 算法 无 效 “1010] 。 


Knudsen 发 现 了 密 钥 编 制 中 的 一 个 弱点 : 对 每 一 个 有 效 密 钥 ， 至 少 
存在 1 个 《有 时 多 到 9 个 ) 其 他 的 密 钥 ， 它 们 加 密 不 同 的 明文 产生 相同 的 
密 文 L862] ， 在 6 轮 后 加 密 成 相同 密 文 的 明文 数目 为 22 一 228 。 当 该 算 
法 用 于 加 密 时 ， 攻 击 并 不 影响 该 算法 的 安全 性 ， 当 它 用 于 单 向 函数 时 ， 
攻击 将 极 大 地 降低 它 的 安全 性 。 在 任何 情况 下 ，Knudsen 推 荐 至 少 使 用 8 
轮 。 





SAFER 是 为 Cylink 公 司 设计 的 ， 而 Cylink 公 司 受 到 NSA 的 影响 [801 
。 在 以 任何 形式 使 用 SAFER 之 前 ， 我 推荐 再 等 密码 学 家 分 析 几 年 。 


14.5 3-Way 算 法 


AN 


3-Way 算 法 是 Joan Daemen 设 计 的 分 组 密码 算法 [402、410」， 它 的 分 


组 长 度 和 和 密 钥 长 度 儿 为 96 位 ， 它 的 设计 非常 便于 人 硬件 实现 。 


3-Way 算 法 不 是 Feistel 结 构 ， 但 它 是 一 个 迭代 的 分 组 密码 算法 ，3- 
Way 算法 为 n 轮 ，Daemen 推 荐 11 轮 。 
3-Way 的 描述 
该 算法 的 描述 很 简单 ，x 为 需 加 密 的 明文 分 组 : 
对 于 i 二 0 至 一 1 
x=ax XOR K; 
x= theta(z) 
x=pi—1(x) 
x= gamma(x) 
x= pi—2(2x) 


z=xOK, 


x= theta(z) 


其 中 用 到 的 函数 为 : 


‘theta (x) 是 线性 代替 函数 一 一 基本 上 是 循环 移 位 和 有 异 或 。 
:pi-1 (x) 和 pi-2 (x) 是 简单 的 置换 。 


‘gamma (x) 是 非 线 性 代 蔡 函数 ， 这 是 取 3-Way 这 个 名 字 的 一 步 ， 
它 是 一 个 基于 输入 的 3 位 分 组 的 代 痊 并 行 运算 。 





解密 与 加 密 类 似 ， 除 了 输入 位 和 输出 位 必须 是 可 逆 的 外 ， 实 现 3- 
Way 算法 的 代码 可 在 本 书 的 后 面 找到 。 

到 目前 为 止 ， 还 没有 成 功 地 对 3-Way 的 密码 分 析 。 这 个 算法 没有 专 
利 。 


14.6 ”Crab 算 法 


Crab 算 法 是 RSA 实 验 室 的 Burt Kaliski 和 Matt Robshaw 开 发 的 [8101 
。CRAB 的 思想 是 使 用 单 癌 散 列 函数 技术 来 实现 快速 加 密 ， 因 此 CRAB 


非常 类 似 于 MD5， 这 里 假设 你 已 经 非常 熟悉 18.5 节 。 


Crab 有 一 个 大 的 分 组 : 1024 字 节 。 因 为 提出 的 Crab 算 法 较 其 实现 具 
有 更 大 的 研究 价值 ， 所 以 该 算法 没有 给 出 密 钥 产生 程序 。 设 计 者 假设 : 
虽然 该 算法 很 容易 接受 可 变 长 度 的 密 铀 ， 但 仍 存在 一 个 能 将 80 位 密 钥 转 
变 为 三 个 必 不 可 少 的 子 密 钥 的 方法 。 





Crab 使 用 了 两 个 大 的 子 密 钥 集 ; 


AN 0 一 255 的 一 个 置换 .了 P, , P， Er SE 
32 位 数 的 2048 单元 数组 :50 yi 992 etl s O2047 o 





这 些 子 密 钥 在 加 密 或 解密 之 前 必须 全 部 计算 出 来 。 

为 加 密 1024 字 节 的 分 组 又 : 

(1) 把 X 分 成 256 个 32 位 的 子 分 组 : Ky» Xy Xys as Koss o 
(2) 根据 P 对 这 些 子 分 组 进行 置换 。 


GB) 对 于 r=0 至 3 


对 于 g=0 人 至 63 
A=X (4g) <<<2r 
B=X (4g+1) <<<2r 
C=X (4g+2) <<<2r 


D=X (4g+3) <<<2r 
对 于 s=0 至 7 


A = A BB f.(B,C, D) 十 Ssizrtsets) 


TEMP = D 
D=C 
C=B 
B=A<<<5 
A = TEMP 
ree 
X et) -一 了 
TT, 
i 


(4) 重新 合并 X00 Xi Xoo ces Kose, MRE N: 


函数 f (B, C, D) 与 MD5 中 使 用 的 类 似 : 


fo(B.C,D) = (BAO V (CB) A D) 
JBC D) = (BAD V CA CD) 
f2(B,C,D) =BOC@D 

f;(B.C,D) = COG V TD)) 





产生 子 密 钥 是 一 个 巨大 的 任务 ， 下 面 是 从 一 个 80 位 密 钥 K 产 生 置换 
数组 P 的 过 程 : 


(1) 用 密 钥 K 的 10 字 节 初 始 化 Ko，K1，K,，...，Ko。 
(2) 对 于 i=10 至 255 

天 ;一 天- 由 上 -由 天 -7 由 天 -no 
(3) 对 于 i=10 至 255，Pi =i 

(4) m=0 

(5) 对 于 i=0 人 至 1 

对 于 i=256 至 1 步 长 -1 


m= 〈K256i+K2s7i ) mod i 


Ko57-4 =Ky574 <<<3 
交换 P; 和 Pi.1 


可 以 用 类 似 的 方式 从 相同 的 80 位 密 钥 或 从 其 他 密 钥 中 产生 S 数 组 的 
2048 个 32 位 字 。 设 计 者 认为 ， 应 将 这 些 细 节 “ 看 成 一 个 动力 ， 可 能 存在 
更 有 效 及 更 安全 的 密 钥 编制 ”810. 。 


Crab 可 看 成 是 一 个 新 思想 的 试验 台 ， 而 不 是 一 个 算法 。 它 使 用 了 许 
多 与 MD5 相 同 的 技术 。Biham 认 为 巨大 的 分 组 可 使 该 算法 更 容易 分 析 
Liso] 。 另 一 方面 ，Crab 可 能 做 了 一 个 巨大 密 钥 的 有 效应 用 。 在 这 种 情 
况 下 , “更 容易 分 析 ? 可 能 并 不 意味 着 更 多 的 东西 。 











14.7 SXAL8/MBAL 算 法 


这 是 一 个 来 自 日 本 的 64 位 分 组 的 分 组 密码 算法 l 。SXAL8 是 
一 个 基本 算法 ，MBAL 是 可 变 分 组 长 度 的 扩展 类 型 。 因 为 MBAL 内 部 做 
了 一 些 聪明 的 设计 ， 所 以 设计 者 声称 该 算法 仅 需 要 几 轮 就 可 得 到 适当 的 
安全 性 。 采 用 1024 字 节 的 分 组 ，MBAL 大 约 比 DES 快 70 倍 。 不 幸 的 是 ， 
[1174] 证 明了 MBAL 可 能 被 差分 攻击 ， 同 时 文献 L865」 证 明 该 算法 
可 能 受到 线性 攻击 。 








14.8 ”RC5 算 法 


RC5 是 参数 变量 的 分 组 密码 算法 : 分 组 大 小 、 密 钥 大 小 和 加 密 轮 
数 。 它 是 Ron Rivest 发 明 的 ， 由 RSA 实 验 室 分 析 [1324、1325」 。 


该 算法 使 用 了 三 种 运算 : 异 或 、 加 和 循环 。 对 大 多 数 处 理 髓 而 言 ， 
人 循环 需要 固定 的 时 间 ， 同 时 可 变 的 循环 是 一 个 非 线性 函数 。 依 赖 于 密 角 
和 数据 的 循环 是 一 个 有 趣 的 运算 。 





RC5 有 一 个 可 变 长 度 的 分 组 ， 但 本 书 的 例子 将 集中 在 64 位 的 分 组 。 
加 密使 用 了 2r+2 个 密 钥 相关 的 32 位 字 :; Sos Ss S29 a Sogo 这 里 r 
表示 加 密 的 轮 数 。 后 面 将 产生 这 些 字 。 加 密 时 ， 首 先 将 明文 分 组 划分 为 
两 个 32 位 字 : A 和 B 〈RC5 假 设 将 字 节 封装 为 字 采 用 了 低 字 节 序 ， 即 第 
一 个 字 节 进入 寄存 器 A 的 最 低位 位 置 等 ) ， 然 后 : 








A=A+S, 
B=B+S, 
对 于 ;一 1 至 7: 
A=((A@® B)<<<B)+S,,; 
B=((8B @OAI= LLAT San 


和 输出 是 在 寄存 器 A 和 B 中 。 


解密 很 容易 ， 把 明文 分 组 划分 为 两 个 字 : A 和 B， 然 后 : 


对 于 = 递减 至 1. 
B=((B—S,;4;) >>> APA 
A=((A—S,;) >>>B)@ B 


RRP EMAA, RATA AS AB ED? 。 


创建 密 钥 组 非常 复杂 ， 但 它 也 是 直接 的 。 首 先 把 密 钥 字 节 复制 到 c 
的 32 位 字 的 数组 L 中 ， 如 果 需 要 ， 最 后 一 个 字 可 以 用 零 填 充 。 然 后 利用 
线性 同 余 发 生 器 模 22 初始 化 数组 5: 


So=P 
MF i=1 B2r4+1)-1: 
S={S +Q)mod 2” 


P=0xb7e15163 和 Q=0x9e3779b9， 这 些 常 数 是 e 和 phi 的 二 进 制 表示 


最 后 将 工 与 S 混 合 : 


i=j=0 
A=B=0 
做 3n 次 (这 里 nn 是 2(r 十 1) 和 < 中 的 最 大 值 ) 
A=S,;=(S;,+A+B<<<3 
B=L,=(L,+A+B)<<<(A+B) 
i= Ci+l)mod 2Cr 1) 
17 一 (7 十 1)mod c 


实际 上 RC5 是 一 族 算法 。 以 上 定义 了 32 位 字 和 4 位 分 组 的 RC5， 没 有 
任何 理由 认为 同一 个 算法 不 能 是 64 位 字 和 128 位 分 组 。 对 于 w=64，P 和 Q 
分 别 为 0xb7151628aeb2a6b 和 0x9e3779b97f4a7c15。Rivest 设 计 了 RC5 的 
一 个 特殊 的 实现 :RC5-w /r/b， 这 里 w 是 字 长 、r 是 加 密 轮 数 、b 是 密 

字 节 长 度 。 


RC5 是 一 种 新 的 算法 ， 但 RSA 实 验 室 花费 了 相当 的 时 间 分 析 64 位 分 
组 算法 ， 在 5 轮 后 统计 特性 看 起 来 非常 好 。 在 8 轮 后 ， 每 一 个 明文 位 至 少 
影响 一 个 循环 。 对 5 轮 的 RC5， 差 分 攻击 需要 224 个 选择 明文 ， 对 10 轮 ， 

要 24 个 ; 对 12 轮 ， 需 要 2”” 了 个 ; 对 15 轮 ， 需 要 268 个 。 当 然 这 里 仅 有 
264 个 可 能 明文 ， 所 以 该 攻击 对 15 轮 或 以 上 的 RC5 是 失败 的 。 在 6 轮 后 线 
性 分 析 就 是 安全 的 。Rivest 推 荐 至 少 12 轮 ， 甚 至 可 能 16 轮 “1325」 。 这 个 
轮 数 可 以 变化 。 





RSADSI 已 经 为 RC5 申 请 了 专利 ， 且 名 称 是 一 个 商业 标志 。 公 司 声 
明 使 用 许可 的 费用 将 很 少 ， 但 你 最 好 先 对 它 进行 检查 。 





14.9 其 他 分 组 密码 算法 


在 文献 [301] 中 有 一 个 称 为 CRYPTO-MECCANO 的 算法 ， 它 是 不 
安全 的 。 四 个 日 本 密码 学 家 在 Eurocrypt'91 上 发 表 了 一 种 基于 混沌 理论 
的 算法 [687、688」 ，Biham 在 同一 届 会 议 上 对 此 算法 进行 了 分 析 [157] 

另 一 个 算法 依赖 于 随机 码 特定 集 的 子 集 !'693」 。 还 有 多 个 基于 纠 错 编 
码 理论 的 算法 ， McEliece 算 法 的 变型 (参见 19.7 节 ) 【786、 1290] 、Rao- 
Nam 算 法 [1292, 733, 1504, 1291, 1056, 1057, 1058, 1293] Rao-Nam 算 法 的 
变型 (464. 749, 1503] 和 Li-Wang 算 法 [964 1561] 一 它们 都 是 不 安全 
的 。CALC 是 不 安全 的 【19」 。 微 小 加 密 算 法 (TEA) 太 新 ， 所 以 还 
有 任何 评价 [1592」 。Vino 是 另 一 个 算法 “503」 。Matt Blaze 和 我 设计 的 
分 组 密码 算法 MacGuffin 算 法 是 不 安全 的 .139」 ， 它 在 提出 的 会 议 上 被 
破译 了 。 类 似 3-Way 算 法 设计 原理 的 192 位 分 组 的 BaseKing 算 法 太 新 ， 还 
没 来 得 及 做 评价 [402] 。 











在 密码 团体 外 ， 还 有 更 多 的 有 实用 价值 的 分 组 算法 。 其 中 的 一 些 正 
被 不 同 的 政府 和 苗 事 组 织 所 采用 。 这 方面 的 情况 我 一 无 所 知 。 还 有 一 些 
有 商业 价值 的 算法 ， 有 些 可 能 好 ， 但 大 部 分 可 能 不 好 。 如 果 某 公司 认为 
公开 他 们 的 算法 会 损害 公司 利益 ， 那 么 最 好 假定 他 们 是 对 的 ， 且 避 开 该 
算法 。 








14.10 分 组 密码 设计 理论 


在 11.1 节 中 描述 了 Shanon 的 扩散 和 混乱 原理 ， 在 给 出 这 个 原理 50 年 
之 后 ， 它 们 仍 是 分 组 密码 算法 设计 的 基石 。 


混乱 可 隐藏 明文 、 密 文 和 密 钥 之 间 的 任何 关系 。 记 住 线 性 攻击 和 差 
分 攻击 是 怎样 揭示 这 三 者 之 间 的 任何 小 关系 的 呢 ? 好 的 混乱 使 得 这 种 统 
计 关 系 变 得 复杂 以 至 强 有 力 的 密码 分 析 工 具 都 不 能 有 效 。 








扩散 束 是 把 单个 明文 位 或 密 钥 位 的 影响 尽 可 能 扩大 到 更 多 的 密 文 中 
去 。 这 也 隐藏 了 统计 关系 同时 使 密码 分 析 更 困难 。 





仅 使 用 混乱 对 安全 性 来 说 是 足够 的 ， 由 64 位 明文 到 4 位 密 文 的 密 钥 
相关 表 组 成 的 算法 是 相当 安全 的 ， 问 题 是 需要 很 大 的 存储 空间 来 实现 
它 : 需要 10” 字 节 的 存储 空间 。 分 组 密码 算法 的 设计 就 是 用 较 少 的 存储 
空间 创建 这 样 大 的 表 。 














技巧 是 在 一 个 密码 中 以 不 同 的 组 合 方式 多 次 混合 扩散 和 混乱 〈 用 更 
小 的 表 ) ， 这 称 为 乘积 密码 (product cipher) 。 有 时 由 代替 和 置换 层 构 
成 的 分 组 密码 称 为 代 蔡 -置换 网 络 (substitution-permutation network) , 
或 SP 网 络 (SP network) 。 


让 我 们 回 过 头 去 看 看 DES 的 函数 f。 扩 展 置换 和 P 盒 完成 扩散 ，S 盒 


完成 混乱 。 扩 展 置换 和 P 盒 是 线性 的 ，S 盒 是 非 线性 的 。 它 们 中 的 每 一 个 
运算 都 相当 简单 ， 将 它们 组 合 在 一 起 也 非常 好 用 。 


DES 还 演示 了 分 组 密码 算法 更 多 的 设计 原理 。 首 先 它 是 一 个 迭代 的 
分 组 密码 算法 ， 这 意味 着 将 一 个 简单 的 轮 函 数 迭 代 多 座 。2 轮 DES 不 
强 ， 所 有 输出 位 依赖 于 所 有 输入 位 和 密 钥 位 需要 至 少 5 轮 "1078、1080] 

。16 轮 DES 较 强 ，32 轮 DES 更 强 。 


14.10.1 ”Feistel 网 络 


大 多 数 分 组 算法 都 是 Feistel 网 络 ， 这 个 思想 要 奶 漳 到 20 世 纪 70 年 代 
的 早期 C552 553] 。 取 一 个 长 度 为 n 的 分 组 ， 然 后 把 它 分 成 长 度 为 m2 的 
两 个 部 分 : L 和 R， 妆 然 n 必 须 是 偶数 。 可 以 定义 一 个 迭代 的 分 组 密码 算 
法 ， 其 第 轮 的 输出 取决 于 前 一 轮 的 输出 : 
L; = Ra 
Re = Lan DIRK 


K, 是 第 i 轮 使 用 的 子 密 钥 ， 人 十 任意 轮 函 数 。 
你 已 经 在 DES、Lucifer、FEAL、Khufu、Khafre、LOKI、GOST、 
CAST、Blowfish 和 其 他 分 组 密码 算法 中 看 到 了 这 个 概念 。 它 为 什么 会 


有 这 样 大 的 作用 ?因为 该 函数 保证 了 它 的 可 他 性 ， 异 或 用 来 合并 左 半 部 
分 和 轮 函 数 的 输出 ， 它 肯定 满足 : 





Dees 中 ) FR ne 中 了 ote) = es 


只 要 在 每 轮 中 {f 的 输入 能 重新 构造 ， 那 么 使 用 了 这 种 结构 的 密码 就 
可 保证 它 是 可 逆 的 。 它 不 管 f 函 数 如 何 ， 也 不 需要 它 可 逆 。 我 们 能 将 f 隙 
数 设 计 成 如 我 们 希望 的 那样 复 傈 ， 并 且 不 必 实 现 两 个 不 同 算法 一 一 一 个 
用 于 加 密 ， 一 个 用 于 解密 。Feistel 网 络 的 结构 将 自动 实现 这 些 。 





14.10.2 ”简单 关系 


DES 有 一 个 性 质 ， 如 果 Ek (P〉=C， 那 么 Ek (py =C, KEP. C 
'、K' 是 P、C、K 的 逐 位 取 补 。 这 个 特性 使 穷 举 攻击 的 复杂 性 降低 了 2 的 
因子 。LOKI 的 互补 特性 使 穷 举 攻击 的 复 洒 性 降低 了 256 的 因子 。 


简单 关系 (simple relation) 的 定义 为 1857! . 
如 果 Ek (P) =C， 那 么 Ef (x) (g (P, K) ) =h (C, K) 


这 里 f、g 和 h 是 一 个 简单 函数 。 对 这 个 简单 关系 我 认为 它 很 容易 计 
算 ， 比 分 组 密码 的 迭代 更 容易 。 在 DES 中 ，f 是 K 的 逐 位 取 补 ，g 是 P 的 逐 
位 取 补 ，h 是 C 的 逐 位 取 补 。 这 是 将 密 钥 和 部 分 明文 异 或 的 结果 。 








在 一 个 好 的 分 组 密码 算法 中 应 没有 简单 关系 ， 发 现 这 些 弱 点 的 方法 
见 文献 L917] 。 


14.10.3 FEKTA 








在 讨论 算法 设计 时 ， 提 出 的 一 个 问题 是 它 是 否 是 一 个 群 。 群 的 元 素 
古 每 一 个 可 能 密 钥 的 密 文 分 组 ， 群 的 运算 是 合成 。 考 察 算法 群 结构 的 目 
的 是 掌握 在 多 次 加 密 下 有 多 少 额 外 的 混乱 发 生 。 





然而 有 用 的 问题 不 是 一 个 算法 是 否 是 一 个 群 ， 而 是 它 与 一 个 群 有 多 
接近 。 如 果 它 仅 缺少 一 个 元 素 ， 它 将 不 是 一 个 群 ， 但 从 统计 上 来 说 双重 
加 密 将 是 费时 的 。 对 DES 的 分 析 显 示 DES 不 是 一 个 群 。 这 里 仍 有 一 个 有 
趣 的 问题 是 DES 加 密 产生 的 半 群 问题 。 它 包含 恒等式 吗 ?” 也 就 是 说 它 能 
产生 一 个 群 吗 ? 以 另 一 种 方式 看 ， 加 密 〈 不 是 解密 ) 运算 的 一 些 组 合 能 
最 终 产 生 恒 等 函数 吗 ? 如 果 是 ， 最 短 的 这 种 组 合 是 多 长 ? 











对 穷 举 攻击 来 说 ， 目 的 就 是 估计 密 钥 空间 的 大 小 ， 该 结果 远 远 低 于 
密 钥 空间 的 燃 。 


14.10.4 35% 4H 


在 好 的 分 组 密码 中 ， 所 有 的 密 钥 都 是 强 的 。 有 很 少 弱 密 钥 的 算法 
(HIDES) 一 般 也 没有 多 大 问题 。 随 机 选择 一 个 弱 密 钥 的 机 会 很 小 ， 它 
很 容易 测试 并 放弃 。 然 而 ， 当 分 组 密码 算法 用 于 单 向 散 列 函数 时 ， 弱 密 
铀 有 时 能 暴露 出 来 〈 见 8.11 节 ) 。 


14.10.5” 强 的 抗 差 分 攻击 和 线性 攻击 


差分 和 线性 攻击 的 研究 阐明 了 好 的 分 组 密码 的 设计 理论 ，IDEA 的 
发 明 者 引入 了 差分 (differential) 概念 ， 它 是 基本 特征 思想 的 实现 
L931」 。 他 们 讨论 了 能 抗击 这 个 攻击 的 分 组 密码 ，IDEA 是 他 们 研究 的 
结果 [931」 。 当 Kaisa Nyberg 和 Lars Knudsen 证 明 怎 样 才能 使 一 个 分 组 
密码 对 抗 差分 攻击 时 ， 这 个 概念 被 进一步 形式 化 【1181、1182]」 ， 这 个 理 
论 被 扩展 到 高 阶 差分 [702、161、927、858、860]】 和 部 分 差分 [860] 。 高 阶 


兰 分 似乎 仅 用 在 轮 数 较 少 的 密码 中 ， 但 部 分 差分 能 与 兰 分 很 好 地 组 合 。 











线性 攻击 较 新 ， 它 仍 在 进行 改进 。 已 经 定义 了 密 钥 等 级 【1019」 和 
多 级 逼近 的 符号 (8 812] 。 扩 展 线性 攻击 思想 的 其 他 工作 能 在 文献 
[1270] 中 找到 ， [928] 打算 把 线性 和 差分 攻击 组 合成 一 个 攻击 ， 还 
不 清楚 什么 样 的 设计 技术 能 阻止 这 类 攻击 。 





Knudsen 已 做 了 一 些 工 作 ， 对 他 称 为 特别 安全 的 Feistel 网 络 
(practically secure Feistel networks) 考虑 了 一 些 必 要 《〈 非 充分 ) 条 件 : 
该 密码 能 阻止 差分 和 线性 攻击 187] 。 在 线性 攻击 中 ，Nyberg 引 进 了 差 

分 攻击 中 类 似 差 分 的 概念 “1180 。 


有 趣 的 是 在 线性 攻击 和 差分 攻击 之 间 似 乎 有 对 偶 性 ， 这 个 对 侦 性 明 
显 体现 在 构造 好 的 差分 特性 和 线性 逼近 的 设计 技术 中 194、1018」， 同 
时 也 出 现在 使 密码 算法 能 安全 地 对 抗 这 两 种 攻击 的 设计 准则 中 “307] 。 


这 个 研 完 领域 将 走 同 哪里 现在 仍 不 知道 。 作 为 开始 ，Daemen 已 开 及 了 
一 种 基于 线性 攻击 和 差分 攻击 的 算法 设计 策略 “42 。 


14.10.6_S 盒 的 设计 








各 种 Feistel 网 络 的 强度 (特别 是 对 抗 差分 攻击 和 线性 攻击 的 能 力 ) 
与 它们 的 S 盒 紧密 相关 。 这 给 出 了 一 个 研究 问题 : 构造 好 的 S 盒 。 


一 个 S 盒 是 一 个 简单 的 代替 : 将 m 位 输入 映射 到 n 位 输出 。 前 面 已 介 
绍 了 一 个 64 位 输入 到 64 位 输出 的 大 的 查询 表 ， 它 是 64x64 位 的 S 盒 。 一 个 
m 位 输入 到 n 位 输出 的 S 盒 称 为 mxn 位 的 S 盒 (mxn-bits S-box) 。 在 算法 
中 ，S 盒 通常 情况 下 是 仅 有 的 一 个 非 线 性 步骤 ， 它 们 给 出 了 分 组 密码 的 
安全 性 。 通 常 它 们 越 大 越 好 。 





DES 有 8 个 不 同 的 6x4 位 的 S 盒 ，Khufu 和 Khafre 有 一 个 8x32 位 的 $S 
盒 ，LOKI 有 一 个 12x8 位 的 S 盒 ，Blowfish 和 CAST 有 8x32 位 的 S 盒 。 在 
IDEA 中 模 乘 是 一 个 有 效 的 S 盒 ， 它 是 16x16 位 的 S 盒 。S 盒 越 大 ， 要 找到 
在 差分 攻击 和 线性 攻击 中 使 用 的 统计 关系 就 越 困 难 L653 729. 1626) 。 
并 且 ， 当 随机 产生 的 S 盒 对 抗 差 分 攻击 和 线性 攻击 来 说 不 是 最 优 的 ， 如 
果 S 盒 很 大 ， 则 很 容易 找到 强 的 S 盒 。 大 多 数 随机 的 S 盒 是 非 线 性 的 ， 非 
退化 的 ， 有 强 的 阻止 线性 攻击 的 能 力 一 一 并 且 ， 当 输入 位 减少 时 ， 这 些 
特性 不 会 很 快 地 减少 [i185: 1186. 1187] : 





m 的 大 小 比 n 的 大 小 重要 ， 增 加 n 的 大 小 将 降低 差分 攻击 的 有 效 性 ， 
但 极 大 地 增加 了 线性 攻击 的 有 效 性 。 事 实 上 ， 如 果 n>2m -m， 那 么 在 S 盒 
的 输入 和 输出 位 中 存在 着 一 个 明显 的 线性 关系 ; 如 末 n>2m ， 那 么 仅 在 $ 
盒 的 输出 位 中 存在 着 线性 关系 [164 。 


大 部 分 工作 涉及 布尔 函数 (Boolean function) 的 研究 [94 1098. 
1262, 1408] 。 为 了 保证 安全 ， 在 S 盒 中 使 用 的 布尔 函数 必需 满足 特定 的 
条 件 ， 它 们 不 能 是 线性 的 或 仿 射 的 ， 甚 至 也 不 能 接近 线性 或 仿 射 | 
1177, 1178, 1188] 。0 和 1 是 平衡 的 ， 在 不 同 的 位 组 合 中 没有 相关 性 。 这 些 
设计 准则 也 与 bent 函 数 (bent function) 的 研究 有 关 : 能 证 明 bent 函 数 是 
一 个 最 优 的 非 线 性 函数 。 虽 然 它们 的 定义 很 简单 和 上 自然， 但 它们 的 研究 


au 
却 非常 复杂 [1344、1216、947、905、1176、1271、295、296、297、149、349、471、 





298] 


有 一 个 特性 似乎 非常 重要 ， 即 雪 衣 效应 : 当 某 些 S 盒 的 输入 位 发 生 
改变 时 ，S 盒 的 输出 位 改变 了 多 少 。 对 布尔 函数 来 说 很 容易 给 出 条 件 使 
它 满足 菜 些 雪崩 特性 ， 但 构造 它们 非常 困难 。 严 格 雪崩 准则 CStrict 
Avalanche Criteria, SAC) 保证 了 当 一 个 输入 位 发 生 改变 时 输出 位 将 有 
一 半 要 发 生 改 变 [1568」 。 相 关 的 文献 还 有 [982、571、1262、399] ， 
[1640] 试图 以 信息 泄露 术语 给 出 所 有 这 些 准则 。 














多 年 前 密码 设计 人 员 提 出 了 选择 S 盒 以 使 其 差分 分 布 表 均匀 。 这 将 
通过 抹 平 任何 特定 轮 的 差分 来 使 差分 攻击 无 效 [6、443、444、1177] 。 





LOKI 是 该 设计 的 一 个 例子 。 然 而 这 个 方法 有 时 对 差分 攻击 来 说 是 有 帮 
助 的 【172」 ， 实 际 上 更 好 的 方法 是 保证 最 大 差分 尽 可 能 小 。Kwangio 
Kim 提 出 了 5 个 类 似 DES 的 S 盒 设计 准则 的 S 盒 构造 法 则 [834J 。 


选择 一 个 好 的 S 盒 不 是 一 件 容 易 的 事情 ， 在 许多 充满 相互 矛盾 的 思 
想 中 ， 被 认同 的 有 如 下 4 个 : 


(1) 随机 选择 。 显 然 小 的 随机 S 盒 是 不 安全 的 ， 但 大 的 随机 S 禽 可 
能 足够 强 。 有 8 个 或 更 多 个 输入 的 随机 S 盒 是 相当 强 的 “186、1187」 , 12 
位 的 S 例 更 好 。 如 果 S 例 是 随机 的 且 与 密 钥 相关 ， 那 么 S 盒 将 更 强 。IDEA 
使 用 了 大 的 且 与 密 钥 相关 的 S 盒 。 





(2) 选择 和 测试 。 某 些 密码 产生 随机 的 S 盒 ， 然 后 根据 需要 的 特性 
来 测试 它 ， 这 个 方法 的 例子 见 文献 L9 729] 。 


(3) 人 为 构造 。 这 个 技术 几乎 不 使 用 数学 方法 ， 而 是 使 用 更 直接 
WI ARESA. Bart Preneel 认 为 : “.……… 有 趣 的 准则 在 理论 上 是 不 充 
分 的 〈 用 选择 布尔 函数 的 方法 来 产生 S$ 盒 ) .……. "并且 “需要 专门 的 设计 
准则 ”[1262] 。 





(4) 数学 方法 构造 。 根 据 数 学 原理 产生 S 盒 使 得 它们 能 抗 差分 攻击 
和 线性 攻击 ， 且 具有 好 的 扩散 特性 。 这 种 方法 一 个 极 好 的 例子 见 文献 
[1179] 。 


还 有 一 些 人 为 构造 和 数学 构造 的 组 合 方法 [1334， 但 实际 争论 发 
生 在 随机 选择 的 S 盒 和 满足 某 些 特性 的 S 盒 之 间 。 当 然后 一 种 方法 对 于 抗 
己 知 攻击 《线性 攻击 和 差分 攻击 ) 来 说 是 最 优 的 ， 但 还 不 知道 它 能 售 提 
供 抗 示 知 攻击 。DES 的 设计 者 了 解 差 分 攻击 ， 它 的 S 盒 对 于 抗 该 攻击 来 
说 是 最 优 的 。 他 们 似乎 不 知道 线性 攻击 ， 所 以 对 于 抗 线性 攻击 来 说 DES 
的 S 盒 是 非常 弱 的 “10184 。 在 DES 中 随机 选择 S 盒 对 于 抗 差分 攻击 来 说 
更 弱 ， 而 对 于 抗 线性 攻击 来 说 更 强 。 














另 一 方面 ， 对 于 抗 这 些 攻击 来 说 随机 选择 的 S 盒 可 能 不 是 最 优 的 ， 
但 可 以 使 它们 足够 大 ， 因 此 足以 抗 这 些 攻击 。 并 且 ， 对 于 未 知 攻击 它们 
具有 足够 的 抵抗 性 。 争 论 仍然 存在 ， 但 我 个 人 认为 $ 盒 应 当 尽 可 能 
随机 且 与 密 钥 相关 。 


14.10.7 设计 分 组 密码 


设计 一 个 分 组 密码 很 容易 。 如 果 把 64 位 分 组 密码 看 成 是 一 个 64 位 数 
的 置换 ， 显 然 几乎 所 有 这 样 的 置换 都 是 安全 的 。 困 难 的 是 设计 一 个 分 组 
密码 不 仅 要 安全 ， 而 且 要 容易 描述 和 简单 实现 。 


如 果 有 一 个 巨大 的 存储 器 来 存储 48x32 的 S 盒 ， 那 么 设计 一 个 分 组 密 
人 码 很 容易 。 如 果 把 DES 和 迭代 128 轮 ， 那 么 想 要 设计 一 个 不 安全 的 DES 变 
形 将 十 分 困难 。 如 果 密 钥 长 度 为 512 位 ， 实 际 上 就 不 用 关心 这 些 密 钥 是 








否 有 互补 特性 。 





实际 上 ， 设 计 分 组 密码 非常 困难 的 原因 ， 是 该 密码 要 具有 尺 可 能 小 
的 密 钥 、 尺 可 能 小 的 存储 空间 以 及 尽 可 能 快 的 运行 速度 。 


14.11 使 用 单 同 散 列 函数 


用 单 向 函数 加 密 的 一 个 简单 方法 是 与 密 钥 相连 的 前 一 个 密 文 分 组 进 
行 散 列 运算 。 然 后 将 结果 和 当前 的 明文 分 组 异 或 : 


G: = Pr WD HUK Cai) 
P; — C,® HCK.,C-.,) 


设 分 组 的 长 度 等 于 单 癌 散 列 函 数 的 输出 ， 这 实际 上 是 将 单 问 函 数 作 
为 CFB 模 式 中 的 分 组 密码 使 用 。 类 似 的 构造 也 可 以 使 用 OFB 模 式 中 的 单 
[E] PK Æi: 


C,=P,Q@S,, S&S, = ALA Ga) 
P=COS, BS ACK.C.4) 


TPP TT IE HY EE CRP ALT] BRI BAC ZEEE 
14.11.1 Karn 


由 Phil Karn 发 明 且 公开 发 表 的 Karn 方 法 用 确定 的 单 回 散 列 水 数 设 计 
可 逆 加 密 算 法 。 


该 算法 对 32 字 节 的 明文 和 密 文 进行 运算 ， 密 钥 可 以 为 任意 长 度 ， 不 
过 对 于 确定 的 单 向 散 列 函数 来 说 ， 确 定 密 钥 长 度 将 更 有 效 。 对 单 向 散 列 
函数 MD4 和 MD5，96 字 节 密 钥 最 有 效 。 





加 密 时 ， 首 先 将 明文 分 成 两 个 16 字 节 : PMP, 。 然 后 ， 将 密 钥 分 成 


两 个 48 字 节 : Ky AK, 。 


将 K 附加 到 Pl ， 用 单 向 散 列 函数 对 它 进行 散 列 运算 ， 然 后 将 该 结 
与 P, 异 或 产生 密 文 的 右 半 部 分 C. 。 然 后 ， 将 K, 附加 到 C, ， 并 用 单 向 散 
列 函数 对 它 进行 散 列 运 算 ， 然 后 将 该 结果 与 P| 异 或 产生 密 文 的 左 半 部 分 
Cl 。 最 后 ， 将 C, 附加 到 Ci ， 产 生 密 文 。 


Co P,®HCP,,K,) 
C, = P, H(C,,K,) 
C= CC, 


解密 是 一 个 简单 的 逆 过 程 ， 将 Ki 附加 到 Cu ， 进 行 散 列 运算 并 与 CI 
异 或 产生 明文 Pl 。 将 K 附加 到 Ci ， 进 行 散 列 运算 并 与 C, 异 或 产生 明文 











HJ 


r° 


P) =C] ®H (Coa K. ) 
P, =C, DH CP, ， K) 
P=P,, P, 


这 个 算法 的 整体 结构 与 本 市 讨论 的 许多 其 他 分 组 算法 类 似 。 因 为 这 
个 算法 的 复杂 性 谍 入 在 单 问 散 列 函数 中 ， 所 以 它 仅 有 两 轮 。 同 时 由 于 窜 
钥 仅 作为 散 列 函数 的 输入 ， 所 以 即使 用 选择 明文 攻击 ， 它 也 不 能 被 破 
译 ， 当 然 ， 要 假定 这 个 单 问 散 列 函 数 是 安全 的 。 


14.11.2 Luby-Rackoff 


Michael Luby 和 Charles Rackoff 指 出 Karn 是 不 安全 的 1992) 。 考 虑 
两 个 单 分 组 的 消 轧 : AB 和 AC。 如 宁 蜜 码 分 析 者 既 知 道 第 一 个 消息 的 明 
文 又 知道 密 文 ， 那 么 他 们 就 知道 第 二 个 消息 明文 的 第 一 部 分 ， 随 后 就 能 
够 容易 地 计算 出 完整 的 第 二 个 消息 。 这 种 已 知 明文 攻击 仅 对 确定 情况 有 


用 ， 但 它 是 一 个 主要 的 安全 性 问题 。 








3 轮 加密 算 法 将 避免 这 个 问题 “992、1643、1644」 ， 它 使 用 3 个 不 同 的 
散 列 函数 : H,. Hy 和 Hs ， 进 一 步 的 证 明 给 出 Hi 能 等 于 H, > WH, 能 等 
于 Hs ， 但 两 者 不 能 同时 满足 [1193] 。 并 且 Hi 、H, MH, 不 能 是 基于 同 
一 个 基本 函数 的 迭代 【16%3」 ， 无 论 如 何 还 需 假 设 H (k，x) 像 一 个 伪 














随机 函数 ， 因 此 3 轮 加 密 过 程 为 ; 
(1) 把 密 钥 分 成 两 部 分 ，K AIK, 。 


(2) 把 明文 分 组 分 成 两 部 分 ，Lo 和 Ro « 


(3) 将 KI 附加 到 Lo ， 并 进行 散 列 运算 。 其 结果 与 Ro 异 或 产生 Ri 
Ri=Ro ®H (Kı; Lo) 
(4) 将 Ki 附加 到 Ri ， 并 进行 散 列 运算 。 其 结果 与 Lo 异 或 产生 Li 
Lı =Ry SH (Kj; Ly) 
(5) 将 Ki 附加 到 Li ， 并 进行 散 列 运算 。 其 结 末 与 Ri ARER, 


R» =R; OH (Kj; L,) 


(6) 将 Li 附加 到 R, ， 产 生 消 息 。 


14.11.3 ”消息 摘要 密码 


由 Peter Gutmann 发 明 的 消息 摘要 密码 (Message Digest Cipher, 


MDC) 16761 是 一 种 将 单 向 散 列 函数 转变 成 运行 于 CFB 模 式 下 的 分 
密码 的 方法 。 实 际 上 这 个 密码 算法 与 散 列 函数 一 样 快 ， 且 安全 性 至 少 与 
散 列 函数 一 样 。 本 市 的 剩余 部 分 假设 你 已 经 熟悉 第 18 半 的 内 容 。 


散 列 函数 (如 MD5 和 SHA) 使 用 512 位 分 组 把 输入 值 (MD5 是 128 
位 ，SHA 是 160 位 ) 变 为 相同 长 度 的 输出 值 。 这 个 变换 是 不 可 逆 的 ， 但 
对 于 CFB 模 式 它 很 完美 : 同样 的 运算 既 用 于 加 密 又 用 于 解密 。 





让 我 们 用 SHA 来 看 看 MDC。MDC 拥 有 160 位 分 组 和 512 位 密 钥 。 散 
列 函数 的 使 用 作为 “单行 道 "?， 将 旧 的 散 列 状态 作为 输入 明文 分 组 (160 
WE) ，512 位 散 列 输入 作为 密 钥 〈 见 图 14-5) 。 正 常情 况 下 ， 当 使 用 散 
列 对 某 些 输入 进行 散 列 运算 时 ， 当 每 一 个 新 的 512 位 分 组 进行 散 列 运算 
时 ， 散 列 的 512 位 输入 将 改变 ， 但 是 此 时 512 位 输入 变 成 一 个 不 变化 的 密 
钥 。 

















消息 分 组 
ani — woan | —- nti 
明文 ~ HK 
a) 散 列 函数 D) 在 CFB 模 式 下 将 散 列 函数 作为 明文 密码 


图 14-5 ”消息 摘要 密码 


MDC 能 使 用 任何 单 向 散 列 函数 : MD4、MD5、Snefru 和 其 他 的 。 
MDC 无 专利 权 ， 任 何人 可 在 任意 时 间 以 任意 方式 免费 使 用 它 [676」 。 


然而 ， 我 并 不 相信 这 种 结构 。 以 杂种 散 列 函数 在 设计 中 没有 考虑 到 
的 方式 来 攻击 散 列 函数 是 可 能 的 。 对 于 散 列 函数 来 说 ， 能 阻止 选择 明文 
攻击 并 不 重要 ， 这 里 密码 分 析 者 选择 儿 个 160 位 值 ， 然 后 用 相同 的 512 
位 “ 密 钥 ?加密 它 ， 使 用 它 能 学 到 使 用 512 位 密 钥 的 一 些 信息 。 因 为 设计 
者 不 必 担 心 它 ， 在 计算 密码 能 阻止 这 种 攻击 方面 它 似乎 是 一 个 坏 主意 。 


14.11.4 ”基于 单 同 散 列 函数 的 密码 安全 性 


这 种 构造 方法 的 安全 性 依赖 于 基本 的 单 向 散 列 函数 的 选择 。 一 个 好 
的 单 向 散 列 函数 并 不 一 定 能 使 密码 算法 安全 ， 密 码 的 需要 是 不 同 的 。 例 
如 ， 线 性 攻击 并 不 能 对 单 向 散 列 函数 有 效 ， 但 它 能 对 加 密 算法 有 效 。 一 
个 单 向 散 列 函数 “如 SHA)〉 能 有 一 个 线性 特征 ， 但 并 不 影响 它 作 为 单身 
散 列 函数 的 安全 性 ， 仅 使 它 在 一 个 加 密 算法 (如 MDC) 中 不 安全 。 据 
我 了 解 ， 还 没有 对 某 一 个 特定 单 癌 散 列 函数 构成 的 分 组 密码 算法 的 密码 
分 析 ， 在 你 们 相信 这 些 算法 之 前 还 是 再 等 等 吧 。 











14.12 分 组 密码 算法 的 选择 


这 是 一 个 很 难 回答 的 问题 。 对 于 世界 上 主要 的 政府 部 门 来 说 DES 几 
乎 肯定 古 不 安全 的 ， 除 非 你 仅 用 一 个 密 钥 来 加 密 一 个 非 第 小 的 数据 块 。 
对 其 他 人 来 说 可 能 也 是 这 样 ， 但 这 种 情况 不 久 束 会 改变 。 对 所 有 机 构 来 
说 ，DES 密 钥 的 穷 举 搜索 机 器 将 很 快 变 得 很 经 济 。 











Biham 的 DES 密 钥 相 关 的 S 盒 将 至 少 在 几 年 内 对 已 发 现 的 所 有 攻击 者 
(甚至 可 能 包括 他 们 自己 ) 来 说 是 安全 的 。 如 果 你 需要 将 安全 性 维持 10 
年 ， 或 者 担心 来 自 于 政府 的 密码 分 析 ， 那 么 可 以 使 用 有 3 个 独立 密 钥 的 3 
重 DES。 





其 他 算法 也 不 是 没有 价值 。 我 喜欢 Blowfish 算 法 ， 因 为 它 很 快 并 且 
是 我 设计 了 它 。3-Way 看 起 来 很 好 ，GOST 可 能 也 很 好 。 问 题 是 NSA 肯 
定 有 很 强 的 密码 分 析 技 术 ， 我 并 不 知道 他 们 可 以 破译 哪 一 个 算法 。 表 
14-3 给 出 了 一 些 算法 的 运算 速度 ， 它 们 仅 用 于 比较 。 








表 14-3 ”一 些 分 组 密码 算法 在 33MHz 486SX 上 的 加 密 速 度 





加 密 速度 
(KB/s) 


加 密 速 度 


ais GL ey oe as Fu, Ey y 
密码 算法 密码 算法 (KB/s) 








Blowfish(12 轮 ) 182 | MDC( 使 用 MD4) 186 


Blowfish(16 轮 ) 135 MDC( 使 用 MD5) 135 





( 续 ) 

















密码 算法 hi hs 密码 算法 
Blowfish(20 轮 ) 110 MDC( 使 用 SHA) 23 
DES 35 NewDES 233 
FEAL-8 300 REDOCII l 
FEAL-16 161 REDOCIII 78 
FEAL-32 91 RC5-3278 127 
GOST 53 RC5-32/12 86 
IDEA 70 RC5-32/16 65 
Khufu(16 轮 ) 221 RC5-32/20 52 
Khufu(24 轮 ) 153 SAFER(6 轮 ) 81 
Khufu(32 轮 ) 115 SAFER(8 轮 ) 61 
Luby-Rackoff( 使 用 MD4) 17 SAFER(10 轮 ) 19 
Luby-Rackoff( 使 用 MD5) 34 SAFER(12 轮 ) 11 
Luby-Rackoff( 使 用 SHA) 11 3-Way 25 
Lucifer 52 3 DES 12 











IDEA 是 我 喜爱 的 算法 。 它 的 128 位 密 钥 中 融合 了 对 任何 已 公开 密码 
分 析 的 抵抗 性 ， 这 使 我 对 该 算法 有 信任 的 感觉 。 此 算法 已 被 许多 不 同 的 
组 织 分 析 过 ， 到 目前 为 止 还 没有 严重 的 问题 发 生 ， 明 天 可 能 会 出 现 一 些 
爆炸 性 的 密码 分 析 新 闻 ， 但 今天 我 仍 看 好 IDEA。 


Bisse ”组合 分 组 密码 


将 一 个 分 组 密码 算法 组 合成 一 个 新 的 算法 有 很 多 途径 ， 这 些 途 径 是 
在 人 们 不 想 设 计 新 算法 ， 又 想 增加 密码 算法 强度 的 情况 下 产生 的 。 自 
DES 产 生 后 的 二 十 多 年 里 ， 人 们 一 直 在 分 析 它 。 到 目前 为 止 ， 对 它 最 有 
效 的 攻击 仍然 是 穷 举 攻击 ， 所 以 DES 是 一 个 安全 的 算法 。 但 是 ， 它 的 密 
钥 太 短 了 。 用 DES 作 为 一 个 结构 模块 组 成 一 个 具有 较 长 密 钥 的 密码 算法 
we EF We? 这 样 便 综 合 了 两 方面 的 优势 : 二 十 多 年 来 的 分 析 结 果 表 
明 ， 加 长 密 钥 是 一 个 有 效 的 方法 。 


多 重 加 密 (multiple encryption) 是 一 种 组 合 技术 : 用 同一 个 算法 在 
多 重 密 钥 的 作用 下 多 次 加 密 同 一 个 明文 分 组 。 级 联 加 密 有 点 像 多 重 加 
密 ， 但 它 用 不 同 的 算法 。 另 外 还 有 其 他 一 些 技术 。 


不 管 使 用 同一 个 算法 ， 还 是 使 用 不 同 的 算法 ， 用 同一 个 密 钥 加 密 一 
个 明文 分 组 两 次 部 是 不 明智 的 。 对 于 同一 个 算法 ， 它 不 会 影响 穷 举 搜 索 
WERE WE: 假设 密码 分 析 者 知道 密码 算法 ， 包 括 加 密 的 次 数 )，; 
对 于 不 同 的 算法 ， 有 了 时 行 ， 有 时 不 行 。 如 果 你 想 用 这 部 分 插 述 技术 中 的 
任何 一 种 ， 一 定 要 保证 多 重 密 钥 是 不 同 且 相互 独立 的 。 











15.1 双重 加 密 


提高 分 组 密码 算法 安全 性 最 简单 的 方法 是 用 不 同 的 密 钥 对 一 个 分 组 
进行 两 次 加 密 。 首 先 用 第 一 个 密 钥 加 密 明 文 分 组 ， 然 后 用 第 二 个 密 钥 加 
密 用 第 一 个 密 钥 加 密 后 的 密 文 。 解 密 是 一 个 相反 的 过 程 。 

C= Ex (En (PY) 
P= Dy (Dg (O) 


如 果 分 组 密码 算法 是 一 个 群 〈 参 见 11.3 节 ) ， 那 么 总 有 一 个 Ka3 满足 
C — Ex, CE x, (P)) — Ex, (P) 


如 果 不 是 这 种 情况 ， 那 么 对 以 上 合成 的 双重 加 密 的 密 文 分 组 ， 利 用 
穷 举 搜索 方法 破解 它 就 非常 困难 。 它 不 只 需要 2 (n 是 密 钥 的 位 长 度 ) 
次 尝试 ， 而 是 需要 2 所 次 尝试 。 如 果 算 法 是 64 位 密 钥 算法 ， 那 么 要 找到 


双重 加 密 的 密 钥 需要 2128 次 尝试 。 











这 不 是 真正 的 已 知 明文 攻击 。Merkle 和 Hellman 5] 研究 了 一 种 
时 间 - 存 储 折 中 技术 ， 用 它 能 攻击 双重 加 密 ， 只 需 通过 2n+1 次 加 密 ， 而 
不 是 22 次 加 密 (他 们 将 它 用 于 攻击 DES， 但 是 结果 表明 它 能 用 于 任何 
分 组 算法 ) 。 这 种 攻击 叫做 中 间 相 遇 攻 击 (meet-in-the-middle 


attack) 。 它 的 工作 原理 是 加 密 从 其 中 一 端 开始 ， 解 密 从 为 一 端 开始 ， 
EF [a] DL ACG FR o 


在 这 种 攻击 中 ， 密 码 分 析 者 知道 P . Cy. Py AIC: 


C; 一 一 Ex, (Ex (Pi) 
p = Ex, (Ek, (Pe)? 


对 于 每 一 个 K， 他 计算 出 Ex (P,) ， 并 将 结果 存储 在 存储 器 中 。 
对 于 所 有 的 K， 都 计算 出 Ek (P) 后 ， 他 再 对 每 一 个 K， 计 算出 Dk 
(Ci) ， 并 且 寻 找 相 同 的 结果 。 如 果 找 到 了 相同 的 结果 ， 那 么 可 能 当 
前 的 K 是 K, ， 并 且 产 生存 储 器 中 加 密 结果 的 K 是 Ki 。 然 后 ， 他 试 着 用 
K, MK, 加 密 P, ， 如 果 他 得 到 了 C。 成功 的 概率 为 1 / 27-0, Ehm 
分 组 长 度 ) ， 则 说 明 他 得 到 了 正确 的 K; MK 。 如 果 加 密 后 没有 得 到 C， 
， 则 继续 寻找 。 这 种 加 密 最 多 需要 尝试 2x2? ， 即 2 次 。 如 果 错 误 的 可 
能 性 太 大 ， 那 么 他 还 可 以 利用 第 三 个 密 文 分 组 ， 成 功 的 可 能 性 为 1 / 
23m-2n 。 还 存在 其 他 一 些 优 化 方法 -912] 。 


这 种 攻击 需要 大 量 的 存储 空间 : 2" 个 分 组 。 对 于 56 位 密 钥 的 算法 ， 
加 密 后 转化 成 256 个 64 位 分 组 ， 或 者 1017 字 节 。 这 仍 需要 一 个 非常 大 的 
存储 空间 ， 远 超过 人 们 能 理解 的 空间 ， 但 这 足以 让 大 多 数 密码 设计 人 员 
相信 双重 加 密 并 不 是 没有 价值 。 





对 于 128 位 密 铀 ， 所 需要 的 存储 空间 将 大 到 10# 字 节 。 如 果 我 们 假 
定 将 1 位 信息 作为 铝 的 单个 原子 ， 发 起 攻击 所 需要 的 存储 器 容量 将 超过 1 
立方 和 干 米 的 固体 铝 ， 何 况 我 们 还 需要 地 方 将 它 存 放 起 来 。 所 以 中 间 相 遇 
攻击 对 这 种 密 钥 长 度 是 不 可 行 的 。 











另 一 个 双重 加 密 方法 ， 有 时 也 叫做 Davies-Price， 它 是 CBC 【35] 
工作 方式 的 一 个 变型 。 


C, — Ex, CP; D Er (C1)) 
P; — Dx CC; ) 5 Ex, (Cı) 


他 们 声称 “这 种 方式 没有 特殊 的 优点 ”。 但 是 它 似乎 与 其 他 双重 加 密 
一 样 易 受到 中 间 相 过 攻击 。 


15.2 三重 加 密 


15.2.1 用 两 个 密 钥 进 行 三 重 加 密 


Tuchman 在 文献 [1551] 中 提出 了 一 个 较 好 的 方法 ， 用 两 个 密 钥 对 
一 个 分 组 进行 3 次 加 密 : 首先 用 第 一 个 密 钥 ， 然 后 用 第 二 个 密 钥 ， 最 后 
再 用 第 一 个 密 钥 。 他 建议 发 送 者 首先 用 第 一 个 密 钥 加 密 ， 然 后 用 第 二 个 
密 钥 解密 ， 最 后 再 用 第 一 个 密 钥 加 密 。 接 收 者 首先 用 第 一 个 密 钥 解密 ， 
然后 用 第 二 个 密 钥 加 密 ， 最 后 再 用 第 一 个 密 钥 解密 。 





C — Ex, (Dr, (Erx, eee 
P — Dx, CE x, (Dr, (C))) 





XF LERENA HT fn E -AE -I CEncrypt-Decrypt-Encrypt, 
EDE) 模式 55」 。 如 果 分 组 算法 有 一 个 n 位 密 钥 ， 那 么 用 这 种 方法 将 有 
2n 位 密 钥 。IBM 描 述 了 这 种 新 颖 的 加 密 -解密 -加 密 模式 与 算法 的 传统 实 
施 之 间 的 兼容 性 ， WREEK 等 于 K, ， 这 种 加 密 方法 与 传统 加 密 方法 
只 用 一 个 密 钥 加 密 相同 。 在 加 密 -解密 -加 密 模式 下 ， 它 自身 并 没有 多 少 
安全 性 ， 但 这 种 模式 在 X9.17 和 ISO 8732 标 准 [55、761] 中 被 用 于 改进 
DES 算 法 。 














K; 和 K, 轮流 使 用 是 用 于 抵抗 中 间 相 遇 攻击 。 假 设 C=Ek。 (Exy 
(Ex, (P) ) ) ， 那 么 一 个 密码 分 析 者 先 要 对 每 一 个 可 能 的 Ki 计算 出 
EL (Eg, (P) ) ， 然 后 再 对 它 进行 攻击 。 这 只 需要 2nt2 次 加 密 。 


用 两 个 密 钥 进行 三 重 加 密 不 会 受到 前 文 所 述 的 中 间 相 过 攻击 的 影 
啊 。 但 是 Merkle 和 Hellman 研 究 了 另 一 种 时 间 - 存 储 折 中 办 法 ， 它 只 需 2 
个 分 组 的 存储 空间 和 2m1 步 就 可 攻破 这 种 技术 [1075] 。 


对 每 一 个 可 能 的 密 钥 K> ， 对 0 做 解密 运算 ， 并 将 结果 存储 在 存储 噩 
中 ， 然 后 对 每 一 个 可 能 的 密 钥 K; ， 对 0 做 解密 运算 ， 得 到 P。 对 P 作 三 重 
加 密 ， 得 到 C， 然 后 用 K1 解密 C。 如 果 解 密 结果 与 用 某 一 个 密 钥 K, 解密 
0 得 到 的 结果 《存储 在 存储 器 中 ) 相同 ， 那 么 K1 AIK, 密 钥 对 可 能 是 所 需 
要 的 结果 。 检 验 它 是 否 是 正确 的 结果 ， 如 采 不 是 ， 继 续 寻 找 。 











以 上 和 是 选择 明文 攻击 ， 需 要 选择 大 量 的 明文 。 它 需要 2 次 操作 和 存 
储 空间 ， 并 且 需 要 2™ 个 选择 明文 。 这 种 攻击 不 是 很 实际 ， 但 是 这 是 一 
AII o 


Paul van Oorschot! Michael Wiener 将 这 种 攻击 方法 更 改 成 已 知 明文 
攻击 ， 需 要 p 个 已 知 明文 。 对 于 EDE 模 式 ， 这 种 攻击 的 例子 描述 如 下 。 


C1) 假设 第 一 个 中 间 值 为 a。 





(2) 对 于 每 一 个 可 能 的 Ki; ， 用 第 一 个 中 间 值 a 和 已 知 明文 计算 出 


第 二 个 中 间 值 b， 然 后 将 Ki 和 b 制 作成 表 : 
b = Dx, (C) 


其 中 C 是 已 知 明 文 加 蜜 的 密 文 结 





(3) 对 于 每 一 个 可 能 的 密 钥 K, ， 在 表 中 依次 查看 ， 找 到 第 二 个 中 
间 值 b， 使 得 


b = Ex, (a) 


(4) 这 种 方法 成 功 的 概率 为 p / m， 其 中 p 是 已 知 明文 的 数量 ，m 是 
分 组 长 度 。 如 果 没 有 找到 相 匹 配 的 b 值 ， 那 么 男 外 找 一 个 8， 再 重复 以 上 
操作 。 


这 种 攻击 需要 2nm / p 次 操作 和 p 存 储 空间 。 对 于 DES， 该 值 为 2120 
ip (15598) 。 因 为 p>256， 所 以 这 种 攻击 比 穷 举 攻 击 快 。 


15.2.2 ”用 三 个 密 钥 进行 三 重 加 密 


如 果 你 准备 使 用 三 重 加 密 ， 那 么 建议 你 使 用 三 个 不 同 的 密 钥 。 虽 然 
增加 了 密 钥 的 长 度 ， 但 是 因为 只 是 多 了 一 些 位 ， 所 以 密 钥 的 存储 并 不 困 
难 。 











C = Ex, (Dr, CE x, (P))) 
P = Dx CE x, CDx, (C))) 
对 于 这 种 加 密 模式 ， 最 好 的 时 间 - 存 储 折 中 攻击 是 中 间 相 遇 攻 击 


-1075」 ， 它 需要 花费 22 步 运算 ， 并 且 需 要 2 个 存储 分 组 。 用 三 个 独立 
密 钥 进行 三 重 加 密 ， 与 我 们 所 期 望 的 双重 加 密 的 安全 性 一 样 。 





15.2.3 ”用 最 小 密 钥 进行 三 重 加 密 


还 有 一 个 用 两 个 密 钥 进行 三 重 加 密 ， 并 且 能 抵抗 前 文 所 述 攻 击 的 安 
全 方法 ， 它 就 是 用 最 小 密 钥 进行 三 重 加 密 (Triple Encryption with 
Minimum Key, TEMK) 1858」 。 其 诀 容 在 于 用 两 个 密 钥 X MX, 产生 


Ss 








kK, = Ex (Dx, (Ex (11))) 
K, 一 一 Ex (Dx, (Ex (1,))) 
K, = Ex, Dy (Ex, (as))) 


Tio T, AIT; eB, TOPICA DERE © X TRR I E I E 
个 专门 的 结构 。 对 它 最 好 的 攻击 是 已 知 明文 攻击 。 





15.2.4 三 重 加 密 模 式 








这 些 并 不 是 所 有 的 三 重 加 密 ， 只 是 一 些 实现 方法 。 应 根据 安全 性 和 
效率 决定 使 用 哪 一 种 方法 。 这 里 给 出 了 两 个 可 能 的 三 重 加 密 模式 : 


:内 部 CBC (Inner-CBC) : 用 CBC 方 式 对 整个 文件 进行 三 次 不 同 的 
加 密 ( 见 图 15-1a) 。 这 需要 三 个 不 同 的 TV 值 。 


C; — Ex, (S; D Ce 1) S; = Dr CT, (DS) Ta — Ex. CP; 中 Tea) 
P; = T 中 Dx, (T;),T; = S 中 Ex, CS,) 55; = G 中 Dx, (C;) 


其 中 Co 、S6 和 T 都 是 初 值 IV。 





-外 部 CBC (Outer-CBC) : 用 CBC 方 式 对 整个 文件 进行 三 重 加 密 


( 见 图 15-1b) 。 需 要 一 个 IV 值 。 


Ca = Ex, (Dx, CE x, CP; DC. ) ) ) 
F. = P 中 ) Dx, CE x, (Dx, (C.J) 


这 两 种 模式 都 比 单 重 加 密 需 要 更 多 的 资源 : 更 多 的 人 硬件 或 时 间 。 然 
而 ， 如 果 将 内 部 CBC 方 式 制作 成 加 密 公 请， 其 加 密 并 不 比 单 重 加 密 慢 。 
因为 3 次 加 密 是 独立 的 ， 每 重 加 密 是 目 反 馈 的 ， 所 以 3 块 加 密 心 片 可 以 同 
时 独立 地 工作 。 











a) 内 部 CBC b) 外 部 CBC 


图 15-1 CBC 模 式 下 的 三 元 加 密 流 程 


男 一 方面 ， 外 部 CBC 中 反馈 是 在 3 次 加 密 之 后 。 这 意味 着 即使 使 用 3 
块 必 片 ， 其 处 理 能 力也 只 有 单 重 加 密 的 1 / 3。 要 用 外 部 CBC 方 式 得 到 同 
样 的 处 理 能 力 ， 需 要 区 苦 IV 值 〈 参 见 9.12 节 ) : 


Cz = Ex, (Dx, (Ex, (F. @®C,3))) 


XE, Co. Cy AIC, 都 是 IV。 这 种 方式 不 会 给 软件 实现 种 来 任何 
帮助 ， 除 非 你 用 多 台 机 器 并 行 运 算 。 


不 幸 的 是 ， 简 单 加 蜜 模式 的 保密 性 也 着。Biham 对 不 同 模式 进行 选 


$i 
ER 


密 文 差 分 分 析 ， 太 现 内 部 CBC 方 式 比 单 重 加 密 安 全 性 要 好 一 点 。 如 于 
将 三 重 加 密 作 为 一 个 较 大 的 单 重 加 密 算法 来 考虑 ， 然 后 将 一 些 客观 数据 
和 已 知 信息 作为 内 部 反馈 数据 引入 算法 的 运算 中 ， 算 法 分 析 起 来 就 会 变 
得 容易 些 。 差 分 分 析 需 要 大 量 的 选择 密 文 ， 这 很 不 现实 ， 足 以 使 密码 破 
译 者 望而却步 。 对 于 中 间 相 过 攻击 和 穷 举 攻击 ， 它 们 的 安全 性 相同 


[806] | 


aS 





还 有 一 种 模式 。 你 可 以 用 ECB 方 式 对 整个 文件 加 密 一 次 ， 然 后 用 
CBC 方 式 加 密 两 次 ; 或 者 用 CBC 方 式 加 密 一 次 ， 然 后 用 ECB 方 式 加 密 一 
次 ， 最 后 用 CBC 方 式 再 加 密 一 次 ;或 者 用 CBC 方 式 加 密 两 次 ， 再 用 ECB 
方式 加 密 一 次 。Biham 表 明 这 些 变型 抗 选 择 明 文 差 分 分 析 攻 击 的 能 力 并 
不 比 单 重 DES 强 [162」 。 并 且 ， 他 对 其 他 变型 也 不 抱 任何 希望 。 如 果 要 
使 用 三 重 加 密 ， 可 以 用 外 部 反馈 模式 。 








15.25 ”三 重 加 密 的 变型 


在 证 明 DES 不 能 形成 群 之 前 ， 人 们 提出 了 一 些 多 重 加 密 方法 。 一 个 
保证 三 重 加 密 不 变 弱 成 单 重 加 密 的 方法 是 改变 有 效 分 组 长 度 。 一 个 简单 
的 方法 是 加 一 小 段 填 充 。 用 一 串 长 度 为 分 组 长 度 一 半 的 随机 位 填充 文 
本 ， 填 充 位 于 第 一 次 和 第 二 次 加 密 以 及 第 二 次 和 第 三 次 加 密 之 间 《〈 见 图 
15-2) 。 假 设 p 古 填充 函数 ， 那 么 : 

















G = Ex, (Ex, (Ex, (PD)? 


EAT aL SRA ATA, TM Re Pe SI. EEE 
加 了 一 个 分 组 长 度 。 


图 15-2 ”和 带 填充 的 三 重 加 密 


Carl Ellison 提 出 了 男 一 种 技术 ， 就 是 在 三 次 加 密 之 间 用 一 些 无 密 钥 
置换 函数 。 这 些 置换 能 够 处 理 较 大 的 分 组 (大 约 8KB)〉 ， 并 且 能 够 给 出 
8KB 分 组 的 一 个 有 效 变 型 。 假 定 这 种 置换 很 快 ， 那 么 这 种 变型 不 会 比 基 
本 的 三 重 加 密 慢 。 


T 收 集 输入 的 一 个 分 组 〈 长 度 可 达到 8KB) ， 并 用 一 个 伪 随 机 数 发 
生 器 来 转换 它 。 输 入 中 1 位 发 生 改 变 ， 在 第 一 次 加 密 后 将 引起 输出 中 8 字 
节 的 改变 ， 第 二 次 加 密 后 至 少 有 64 字 节 发 生 改 变 ， 第 三 次 加 密 后 至 少 有 
512 字 节 发 生 改 变 。 如 果 每 一 个 分 组 算法 都 用 CBC 方 式 ， 那 么 输入 中 1 位 
发 生 了 变化 ， 将 会 影响 整个 8KB 数 据 分 组 ， 甚 至 与 原始 数据 分 组 完全 不 
Fal. 





针对 Biham 对 内 部 CBC 的 攻击 ， 这 个 方案 的 最 新 变型 包括 用 一 个 随 
机 过 程 来 隐藏 明文 。 这 个 随机 过 程 是 一 个 序列 与 一 个 被 称 为 R 的 密码 学 
上 安全 的 随机 数 发 生 器 相 异 或 。 任 意 一 边 的 T 都 可 以 阻止 密码 分 析 者 知 
道 这 个 先 验 Cpriori) ， 这 个 先 验 的 密 钥 过 去 常常 用 于 加 密 最 后 一 次 加 
密 的 输入 中 的 任何 给 定 字 节 。 第 三 次 加 密 这 里 表示 为 nE (用 n 个 不 同 的 
密 钥 循 环 加 密 ) : 


人 


所 有 的 加 密 都 用 ECB 方 式 ， 并 且 提 供 至 少 n+2 个 加 密 密 钥 和 密码 上 
安全 的 随机 数 发 生 器 。 

这 种 方法 为 DES 设 计 ， 但 是 适用 于 任何 分 组 密码 算法 。 我 还 不 知道 
关于 这 种 方式 安全 性 的 分 析 。 





15.3 加 人 翌 分 组 长 度 





在 一 些 学 术 团 体 中 ， 对 64 位 分 组 是 否 足 够 长 展开 了 讨论 。 一 方面 ， 
64 位 分 组 长 度 仅仅 将 明文 扩散 到 8 字 节 的 密 文 中 。 男 一 方面 ， 更 长 的 分 
组 使 得 安全 地 隐藏 模式 更 加 困难 ， 产 生 错 误 的 机 会 也 更 大 。 


有 些 人 建议 采用 多 重 加 密 的 方法 将 密码 算法 的 分 组 长 度 加 倍 £299! 
。 在 实施 这 些 方 法 之 前 ， 需 要 寻找 中 间 相 遇 攻 击 的 可 能 性 。 根 据 Richard 
Outerbridge 的 设计 [50] 〈 见 图 15-3) ， 它 并 不 比 单 重 加 密 和 用 两 个 密 
钥 进 行 三 重 加 密 安全 1859! 。 














图 15-3 ”加 倍 分 组 长 度 


然而 ， 我 不 赞成 这 种 做 法 。 它 并 不 比 传统 的 三 重 加 密 快 ， 加 密 两 个 
数据 分 组 仍然 需要 加 密 6 次 。 我 们 部 知道 三 重 加 密 的 特征 ， 像 这 种 结构 


常常 隐 合 了 一 些 问题 。 


15.4 HAS EWEN R 








用 两 个 密 钥 进行 三 重 加 密 的 问题 仅仅 在 于 将 密 钥 空 间 加 大 了 一 倍 ， 
但 是 每 个 明文 分 组 需要 进行 3 次 加 密 。 能 否 找到 一 些 办 法 只 进行 两 次 加 
密 即 可 将 密 钥 空间 加 倍 呢 ? 





15.4.1 双重 OFB/ 计 数 器 








这 种 方法 采用 分 组 算法 产生 两 个 密 钥 序列 来 加 密 明 文 。 
S: = Ex (Sa ® hL), L=ht+1 
T; = Ekr (Ta ® h), L=h+1 
C= P,®S; @T, 








S AIT, 是 内 部 变量 ，D 和 1 是 计数 器 。 分 组 算法 的 两 个 副本 运行 在 
一 种 混合 的 OFB/ 计 数 器 模式 下 ， 并 且 明文 、S; T; 一 起 进行 异 或 运 
算 。 两 组 密 钥 K; MK 相互 独立 。 我 还 不 知道 有 关 这 种 变型 的 密码 分 
析 。 


15.4.2 ECB+OFB 





这 种 方法 用 于 加 密 长 度 固定 的 多 个 消息 ， 如 磁盘 分 组 (186. 1881 。 
使 用 两 个 密 钥 K; MK, 。 首 先 用 算法 和 Ki 产生 一 个 所 需 分 组 长 度 的 捧 
码 ， 并 用 同样 的 密 钥 和 该 掩 码 循环 加 密 消息 。 然 后 ， 将 明文 消息 与 该 掩 
码 异 或 。 最 后 ， 用 算法 和 K, 采用 ECB 方 式 加 密 腊 或 后 的 明文 。 


这 种 模式 的 分 析 没 有 在 提出 该 方法 的 报刊 上 发 表 出 来 。 显 然 ， 它 至 
少 与 ECB 加 密 方 式 一 样 安 全 ， 并 且 可 能 与 用 算法 处 理 两 次 一 样 安全 。 也 
许 ， 如 果 用 相同 密 钥 加 密 茶 些 已 知 明文 ， 那 么 密码 分 析 者 能 够 找到 这 两 
个 相互 独立 的 密 钥 。 





为 了 阻碍 对 不 同 消息 同一 个 位 置 的 相同 分 组 的 分 析 ， 可 以 添加 一 个 
IV。 不 同 于 其 他 任何 模式 下 的 [IV， 这 里 的 IV 在 进行 ECB 方 式 加 密 以 前 与 
消息 中 的 每 一 个 分 组 异 或 。 


Matt Blaze 为 他 的 UNIX 密 码 文件 系统 (CFS) 设计 了 这 种 模式 。 这 
是 一 种 好 的 加 密 模 式 ， 因 为 仅 采 用 了 一 次 ECB 方 式 加 密 ， 并 且 手 码 能 够 
在 每 次 加 密 时 产生 和 存储 。 在 CFS 中 ， 采 用 DES 作 为 分 组 算法 。 





15.4.3 xDESi 


在 文献 11644. 1645] 中 ，DES 被 用 作 基 本 分 组 模块 ， 构 成 一 系列 
有 较 长 密 钥 和 较 长 分 组 的 分 组 密码 算法 。 这 些 结构 在 任何 方式 下 都 不 依 
靠 DES， 并 且 能 够 用 于 任何 分 组 密码 算法 。 





首先 ，xDES1 是 一 个 简单 地 将 分 组 密码 作为 基本 函数 的 Luby- 
Rackoff 结 构 〈 人 参见 14.11 节 ) 。 分 组 长 度 是 基本 分 组 密码 的 两 倍 ， 密 铀 
长 度 是 基本 分 组 密码 的 3 倍 。 在 三 轮 中 的 每 一 轮 ， 用 分 组 算法 和 一 个 密 
钥 加 密 右 半 部 分 ， 然 后 与 左 半 部 分 异 或 ， 并 将 两 部 分 交换 。 








它 比 传统 的 三 重 加 密 快 ， 因 为 三 次 加 密 过 程 只 需 对 与 基本 算法 具有 
同样 长 度 的 分 组 进行 两 次 加 密 。 但 是 中 间 相 遇 攻 击 可 以 用 2 长 的 表 找 到 
密 钥 ， 这 里 k 是 基本 密码 算法 的 密 钥 长 度 。 用 所 有 可 能 的 K1 来 加 密 明 文 
分 组 的 右 半 部 分 ， 然 后 与 明文 的 左 半 部 分 异 或 ， 并 且 将 这 些 值 存放 于 表 
中 。 然 后 ， 用 所 有 可 能 的 Ks 值 加 密 明 文 的 右 半 部 分 并 在 表 中 寻找 与 之 
相 匹 配 的 值 。 如 果 找 到 了 ， 那 么 K; AIK, 可 能 是 正确 的 密 钥 。 将 这 样 的 
攻击 重复 多 次 ， 就 可 以 找到 一 个 唯一 的 结果 。 这 表明 xDES1 不 是 一 个 理 
想 的 解决 方案 。 更 糟 的 是 ， 有 一 种 选择 明文 攻击 可 以 证 明 xDES:L 还 不 如 
基本 加 密 密 码 的 强度 高 358」 。 








xDES“ 将 这 种 思路 推广 到 5 轮 算法 ， 其 分 组 长 度 是 基本 分 组 密码 的 4 
倍 ， 密 钥 长 度 是 基本 分 组 密码 的 10 倍 。 图 15-4 是 xDES“ 的 一 轮 ，4 个 子 
分 组 中 每 一 个 分 组 的 长 度 都 是 基本 分 组 密码 的 长 度 ， 并 且 所 有 10 个 密 钥 
都 是 独立 的 。 





图 15-4 xDES2 


这 种 方法 也 比 三 重 加 密 快 : 加 密 一 个 4 倍 于 基本 分 组 密码 的 分 组 将 
进行 10 次 加 密 运算 。 然 而 ， 它 易 受 差分 分 析 的 攻击 (8! ， 所 以 不 应 该 
使 用 。 即 使 DES 使 用 了 相互 独立 的 轮 密 钥 ， 这 种 方法 也 易 受 攻击 。 


当 这 3 时 ，xDESI 可 能 太 大 而 不 适合 作为 一 个 分 组 算法 。 例 如 ， 
xDES3 的 分 组 长 度 是 基本 分 组 密码 的 6 倍 ， 密 钥 的 长 度 是 它 的 21 倍 ， 并 
且 加 密 一 个 6 倍 于 基本 分 组 密码 的 分 组 将 进行 21 次 加 密 运 算 。 三 重 加 密 





15.4.4 五 重 加 密 


如 果 三 重 加 密 还 不 够 安全 《也 许 你 需要 用 一 个 强度 更 高 的 算法 来 加 


密 三 重 加 密 的 密 钥 ) ， 那 么 更 高 重 加 密会 更 适宜 一 些 。 对 付 中 间 相 遇 攻 
击 ， 五 重 加 密 的 强度 足够 (对 类 似 双重 加 和 密 的 一 些 讨论 表明 四 重 加 密 在 
三 重 加 密 的 基础 上 提供 了 最 小 的 改进 ) 。 


* = Ex (Dx, (Ex, Dr, (Ex, (P))))) 
P = Dx, (Er, (Dr, (Ex, (Dx, (C027) 
在 这 种 结构 中 ， 如 有 果 K, =K3 ， 那 么 它 等 同 于 三 重 加 密 ;， WRK, 


=K; =K3 ， 那 么 它 等 同 于 单 重 加 密 。 当 然 ， 如 果 5 个 密 钥 相互 独立 ， 那 
么 其 强度 将 更 高 。 


15.5 缩短 CDMF 密 针 


这 种 方法 是 IBM 公 司 为 他 们 的 商业 数据 加 蜜 设备 或 CDMF (参见 
24.8 节 ) 设计 的 ， 它 将 出 口 机 器 中 的 56 位 DES 密 钥 缩短 成 40 位 (785) 。 
它 假 定 原始 的 DES 密 钥 包 含 校 验 位 。 





(1) 将 以 下 位 赋 0: 8、16、24、32、40、48、56、64。 


(2) 用 DES 和 密 钥 0xc408b0540bale0ae 加 密 第 (1) 步 的 输出 ， 并 
ASS (1) 步 的 结果 异 或 。 


G) 得 到 第 (2) 步 的 输出 ， 并 且 将 以 下 位 赋 0: 1、2、3、4、8、 
16、17、18、19、20、24、32、33、34、35、36、40、48、49、50、 


51、52、56、64。 


(4) 用 DES 和 密 钥 0xef2c041ce6382fe6 加 密 第 (3) 步 的 输出 。 然 
后 ， 将 这 个 密 钥 用 于 加 密 消 息 。 


这 种 方法 缩短 了 窗 钥 的 长 度 ， 因 此 它 减 弱 了 算法 。 


15.6 Ath 


白化 (whitening) 是 将 分 组 密码 算法 的 输入 与 一 部 分 密 钥 异 或 ， 
并 且 将 其 输出 与 另 一 部 分 密 钥 异 或 的 技术 。 这 种 技术 首先 被 RSA 数 据 安 
全 公司 用 在 DESX 的 变型 中 ， 然 后 〈 可 能 是 独立 地 ) 用 在 Khufu 和 Khafre 
中 。 (Rivest 对 这 种 技术 命名 ， 这 个 词 的 用 法 不 标准 。) 


这 种 方法 是 想 阻 止 密码 分 析 者 在 已 知 基本 密码 算法 的 前 提 下 获得 一 
组 明文 / 密 文 对 。 这 种 技术 迫使 密码 分 析 者 不 仅 要 猜 出 算法 密 钥 ， 而 且 
必须 要 猜 出 白化 值 中 的 一 个 。 因 为 在 分 组 算法 前 后 都 有 一 个 异 或 运算 ， 
所 以 这 种 技术 不 会 受到 中 间 相 遇 攻 击 的 影响 。 


C= K, ® Ex, (P ®K,) 
P= Ka WD Dx, (C 由 天 3) 


如 果 K1 =Ks ， 那 么 穷 举 攻击 需要 2™™P 次 运算 ， 其 中 n 是 密 钥 长 
度 ，m 是 分 组 长 度 ，p 古 已 知 明文 的 数量 。 如 果 K1 AK, 不 同 ， 那 么 用 三 
个 已 知 明文 进行 穷 举 攻击 需要 2"*m11 次 运算 。 这 种 方法 在 防 差 分 攻击 和 
线性 攻击 时 只 能 保护 很 少 一 些 密 钥 。 但 是 从 运算 上 来 说 ， 这 是 一 种 增加 
算法 安全 性 非 闻 廉价 的 方法 。 





15.7 ”级 联 多 重 加 密 算法 


用 算法 A 和 密 钥 KA 加 密 一 个 消息 ， 然 后 用 算法 B 和 密 钥 Kp 再 加 
密 ， 情 况 会 怎样 呢 ? 也 许 Alice 和 Bob 对 这 个 问题 会 有 不 同 的 意见 : Alice 
想 用 A， 而 Bob 想 用 B。 这 种 技术 有 时 叫做 级 联 〈cascading) ， 并 且 已 
经 扩展 到 远 远 超过 两 个 密码 算法 和 密 钥 。 





莫 观 主义 者 会 说 两 个 密码 算法 在 一 起 运行 对 增加 安全 性 没有 保证 。 
两 个 算法 之 间 微 妙 的 交换 也 许 会 降低 其 安全 性 。 甚 至 用 三 个 不 同 的 算法 
进行 三 重 加 密 也 许 并 没有 你 想象 的 那么 安全 。 密 码 是 一 种 黑色 艺术 ， 如 
果 你 不 知道 你 正在 干什么 ， 你 将 很 容易 陷入 困境 。 





现实 比较 乐观 一 些 。 如 果 不 同 的 密 钥 相互 相关 ， 那 么 真 的 需要 上 述 
的 警告 。 如 果 所 有 的 多 重 密 钥 都 是 相互 独立 的 ， 那 么 级 联 抗 破译 性 至 少 
与 级 联 中 第 一 个 算法 一 样 强 。 如 果 第 二 个 算法 易 受 选择 明文 攻击 ， 那 么 
当 使 用 级 联 时 ， 第 一 个 算法 攻击 起 来 就 容易 一 些 ， 并 且 第 二 个 算法 易 受 
已 知 明文 攻击 。 这 种 潜在 的 攻击 在 密码 算法 上 是 不 允许 的 ; 如果 在 加 密 
前 你 想 让 其 他 某 个 人 指定 某 个 算法 来 加 密 消 息 ， 那 么 你 最 好 确信 加 密 将 
能 抵抗 选择 明文 攻击 〈 注 意 ， 加 密 前 最 常 使 用 的 压缩 和 数字 化 算法 是 
CELP 一 一 由 NSA 设 计 ) 。 





这 能 更 好 地 用 短语 表达 : 使 用 选择 明文 攻击 时 ， 级 联 加 密 至 少 比 它 


的 组 成 部 分 难于 破译 “858」 。 前 面 的 结果 表明 : 级 联 加 密 至 少 与 最 强 的 
算法 一 样 难 于 破译 ， 但 是 这 一 结论 基于 一 些 不 明确 的 假定 S 。 仅 当 
算法 做 过 一 些 处 理 ， 如 级 联 序列 密码 的 情形 (或 分 组 密码 的 OFB 工 作 方 
式 ) ， 级 联 至 少 与 最 强 的 算法 一 样 难以 攻破 。 


如 果 Alice 和 Bob 相 互 都 不 信任 对 方 的 算法 ， 他 们 可 以 用 级 联 的 方 
式 。 如 果 是 序列 密码 算法 ， 那 么 其 顺序 就 没有 关系 ; 如 果 是 分 组 密码 算 
法 ，Alice 首 先 用 算法 A， 然 后 Bob 用 算法 B。Bob 更 相信 算法 B 一 些 ， 他 
可 以 用 算法 A 以 后 ， 接 着 用 算法 B。 他 们 甚至 可 以 在 两 个 密码 算法 之 间 
加 一 个 较 好 的 序列 密码 ， 这 并 不 会 对 其 产生 危害 ， 并 且 能 更 好 地 增加 其 
LANE 


记 住 ， 在 级 联 中 每 个 算法 的 密 钥 是 相互 独立 的 。 如 果 算 法 A 有 一 个 
64 位 密 钥 并 且 算 法 B 有 一 个 128 位 密 钥 ， 那 么 级 联 就 有 192 位 密 钥 。 如 宁 
你 没有 用 相互 独立 的 密 钥 ， 那 么 悲观 主义 者 的 担心 就 更 正确 了 。 


15.8 组 合 多 重 分 组 算法 


这 里 还 有 一 个 组 合 多 重 分 组 算法 的 方法 ， 它 能 够 保证 组 合 后 的 算法 
至 少 与 两 个 算法 具有 相同 的 安全 性 。 它 使 用 两 个 算法 (和 两 个 独立 的 密 
钥 ): 


(1) 产生 一 个 随机 的 位 序列 R， 其 长 度 与 消息 M 的 长 度 一 样 。 
(2) 用 第 一 个 算法 加 密 R。 

(3) 用 第 二 个 算法 加 密 M@R。 

(4) 第 (2) PMA (3) 步 的 结果 就 是 密 文 。 


假定 随机 位 序列 是 真正 随机 的 ， 这 种 方法 用 一 次 填充 加 密 M， 然 后 
加 密 两 次 填充 和 用 两 个 算法 加 密 后 的 消 轧 。 因 为 都 需要 重建 M， 上 所 以 密 
码 分 析 者 必须 攻破 两 个 算法 。 其 缺点 是 密 文 长 度 是 明文 长 度 的 两 倍 。 


这 种 方法 能 够 扩展 到 多 个 算法 ， 但 是 密 文 被 每 一 个 附加 的 算法 加 
密 。 这 是 一 个 好 办 法 ， 但 并 不 现实 。 


P1 ” 伪 随 机 序列 肥 生 器 和 序列 密码 


16.1 线性 同 余 发 生 器 


线性 同 余 发 生 器 〈]linear congruential generator) 是 
X, = (aX,., +b) mod m 


FESR (A BENL PU AE AS, FLEX, 是 序列 的 第 n 个 数 ，X, ;1 是 序列 
的 第 n-1 个 数 ， 变 量 a、b、m 是 常数 ，a 是 乘 数 (multiplier) ，b 是 增 量 


(increment) ，m 是 模 。 密 钥 ， 也 即 种子 是 初始 值 Xo 。 


这 种 发 生 器 的 周期 不 会 超过 m。 如 果 a、b 和 m 都 是 可 选 的， 那么 发 
生 器 将 是 一 个 最 大 周期 发 生 器 (maximal period generator， 有 时 也 叫做 
最 大 长 度 ) ， 周 期 为 m (例如 ，b 是 与 m 相 关 的 素数 ) 。 在 选择 常数 时 需 
要 仔细 ， 以 保证 能 找到 最 大 的 周期 -863、9424」 。 关 于 线性 同 余 发 生 器 及 
其 理论 的 另外 一 篇 好 文章 是 1446] 。 











表 16-1 取 自 [1272] ， 它 给 出 了 线性 同 余 发 生 器 的 好 的 常数 。 它 们 
都 能 产生 最 大 周期 发 生 器 ， 更 重要 的 ， 它 们 都 能 通过 2 维 、3 维 、4 维 、5 
维和 6 维 的 随机 性 频谱 检验 1385 863」 。 这 张 表 按 不 超过 特定 字 长 的 最 
大 乘积 来 组 织 。 





溢出 位 置 a b m 溢出 位 置 a b m 
2% 106 1 283 6 075 ae 1277 24 749 117 128 
ge 211 1 663 7 875 741 66 037 312 500 
2 421 1 663 7 875 2041 25 673 121 500 
aes 130 2531 11979 on 2311 25 367 120 050 

936 1 399 6 655 1 807 45 289 214 326 
1 366 1 283 6 075 1597 51749 244 944 
ae 171 11: 213 53 125 1 861 49 297 233 280 
859 2 531 11 979 2 661 36 979 175 000 
419 6 173 29 282 4 081 25 673 121 500 
967 3 041 14 406 3 661 30 809 145 800 
2 141 28 411 134 456 ye" 3 877 29 573 139 968 
625 6571 31 104 3 613 45 289 214 326 
1541 2 957 14 000 1 366 150 889 714 025 
1741 2731 12 960 231 8 121 28 411 134 456 
1 291 4 621 21 870 4561 51 349 243 000 
205 29 573 139 968 7141 54 773 259 200 
oe 121 17117 81 000 “ee 9 301 19 297 233 280 
255 6 173 29 282 4096 150 889 714 025 
281 28 411 134 456 ee 2416 374 441 771 875 
2 )93 18 257 86 436 234 17 221 107 839 510 300 
421 54 773 259 200 36 261 66 037 312 500 
021 24 631 116 640 2935 84 589 45 989 217 728 
021 25 673 121 500 











表 16-1 线性 同 余 发 生 器 常数 


线性 同 余 及 生 器 的 优点 是 : 速度 快 ， 每 位 只 需 很 少 的 运算 。 


然而 ， 线 性 同 余 发 生 堪 不 能 用 在 密码 学 中 ， 因 为 它们 是 可 预测 的 。 


[1294、1295、1296] ， 然 后 被 Joan 


Boyar 破 译 .1251] 。 她 还 破译 了 二 次 同 余 发 生 器 : 





线性 同 余 发 生 器 首先 被 Jim Reeds 破 译 


X, 


= (aX2_, +X mı +c)mod m 


和 三 次 同 余 发 生 右 : 


X, = (aX ja + bX, FeeX +d)mod m 





Fy HOA FTA OUR Boyar KART EB SERS SAAR KH 
[923. 899. 900] | 截 短 线性 同 余 发 生 器 [581, 705, 580] 和 未 知 参数 的 截 
短线 性 同 余 发 生 器 [1500、212] 也 被 破译 。 上 述 证 据 表 明 : 同 余 发 生 器 
在 密码 学 中 并 不 适用 。 





然而 线性 同 余 发 生 器 在 非 密 码 学 应 用 中 得 到 了 使 用 ， 比 如 仿真 。 根 
据 最 合理 的 经 验 测 试 ， 它 们 是 有 效 的 ， 并 具有 很 好 的 统计 性 能 。 关 于 线 
性 同 余 发 生 器 和 实现 方面 的 重要 信息 可 在 文献 L942] 中 找到 。 











组 合 线性 同 余 发 生 需 


许多 人 考察 了 组 合 线性 同 余 发 生 器 1595 9411 。 结 果 是 它 并 没有 
增加 安全 性 ， 但 是 它 有 更 长 的 周期 并 在 茶 些 随机 性 测试 方面 具有 更 好 的 
性 能 。 





下 面 给 出 了 一 个 32 位 计算 机 使 用 的 发 生 器 “941 : 


static long sl = 1; /* A “long” must be 32 bits long. */ static long s2 = 1 ; 


#define MODMULT(a,b,c,m,s) q = s/a; s = b*(s-a*q) - c*q; if (s<0) s+=m 
/* MODMULT(a,b,c,m,s) computes s*b mod m, provided that m=a*b+c and 0 <= c < m. * 


/* combinedLCG returns a pseudorandom real value in the range 
* (0,1). It combines linear congruential generators with 

* periods of 231-85 and 231-249, and has a period that is the 
* product of these two prime numbers. */ 


double combinedLCG ( void ) 


long q j 
long z ; 


MODMULT ( 53668, 40014, 12211, 2147483563L, s1 ) 
MODMULT ( 52774, 40692, 3791, 2147483399L, s2 ) 
Z = BL = S27 
Be IC Ze Bs |) 

Z += 2147483562 ; 
return z * 4.656613e-10 ; 


} 


/* In general, call initLCG before using combinedLCG. */ 
void initLCG ( long InitS1, long InitS2 ) 


{ 

Al = THIESI G 
82 = INitS2 ; 
} 


当 计 算 机 能 够 表示 -231 +85~23! -85 的 所 有 整数 时 ， 这 个 发 生 器 就 
能 工作 。 变 量 s1 Ms 是 全 局 变量 ， 它 们 保存 发 生 器 的 当前 状态 。 在 第 一 
次 调用 前 ， 它 们 必须 被 初始 化 。 变 量 si 的 初始 值 为 1 一 2147483562， 变 
量 s, 的 初始 值 为 1 一 2147483398， 这 个 发 生 器 在 某 些 地 方 的 周期 能 够 达 
#1018 左右 。 











如 休 只 有 16 位 计算 机 ， 可 以 使 用 下 面 这 个 发 生 需 : 


static int s1 1; /* An “int” must be 16 bits long. */ 


static int s2 = ; 
tatie Tne 63 = 1 7 
#define MODMULT(a,b,c,m,s) q = s/a; s = b*(s-a*q) - c*q; if 


(s<0) s+=m ; 


/* combined LCG returns a pseudorandom real value in the 
range 

* (0,1). It combines linear congruential generators with 

* periods of 215-405, 215-1041, and 215-1111, and has a period 
* that is the product of these three prime numbers. */ 


double combinedLCG ( void ) 
{ 

ink gq +} 

rit o2 


MODMULT ( 206, 157, AL; 32363, BL ) 
MODMULT. © 22u7; 146, 45; 31727; 82 ) 
MODMULT. \( 222; 1242, 133, 31657, B3 J 
2 = sl ~ 82 3 
af f 2. S 706.) 


Zec= 32362 + 
Z += 83 3 
te tgal} 

Z += 32362 ; 


return, g * 3.089968-5 ; 


} 


/* In general, call initLCG before using combinedLCG. */ 
void Inicie { Ant Inresi, ant; Inves2, Invess ) 


{ 


sl = InitS1 ; 
$2 = InitS2 ; 
s3 = Inits3 ; 


当 计算 机 能 够 表示 -32363 一 32363 的 所 有 整数 时 ， 这 个 发 生 器 就 能 
工作 。 变 量 s; s 和 ss 是 全 局 变量 ， 它 们 保存 发 生 器 的 当前 状态 。 在 第 
一 次 调用 前 ， 它 们 必须 被 初始 化 。 变 量 si 的 初 值 为 1 一 32362， 变 量 s, 的 
初 值 为 1 一 31726， 变 量 s3 的 初 值 为 1~~31656。 这 个 发 生 器 的 周期 是 





1.6x1013 。 





这 两 种 类 型 的 友 生 器 ， 线 性 同 余 常 数 项 b 均 为 0。 


16.2 ”线性 反馈 移 位 寄存 器 


移 位 寄存 器 序列 用 于 密码 学 和 编码 理论 方面 已 有 很 多 报道 。 目 从 电 
子 时 代 开 始 以 来 ， 基 于 移 位 寄存 器 的 序列 密码 已 经 广泛 地 用 于 军事 密码 








图 16-1 反馈 移 位 寄存 器 


一 个 反馈 移 位 寄存 器 (feedback shift register) 由 两 部 分 组 成 : 移 位 
寄存 器 和 反馈 函数 (feedback function) 〈 见 图 16-1) 。 移 位 寄存 器 是 
一 个 位 序列 。“〈 移 位 寄存 器 的 长 度 用 位 表示 ， 如 果 它 是 n 位 ， 则 称 为 n 
位 移 位 寄存 器 。) 每 次 需要 1 位 ， 移 位 寄存 器 中 所 有 位 右 移 1 位 。 新 的 最 
左 端的 位 根据 寄存 器 中 其 他 位 计算 得 到 。 移 位 寄存 器 输出 的 1 位 常常 是 
最 低 有 效 位 。 移 位 寄存 器 的 周期 Cperiod) 是 指 输出 序列 从 开始 到 重复 
时 的 长 度 。 

















密码 设计 者 豆 欢 用 移 位 寄存 占 构 造 序列 密 码 ， 因 为 这 容易 通过 数字 


硬件 实现 。 本 书 仅 介 绍 数学 原理 。 挪 威 政府 的 首席 密码 学 家 Ernst 
Selmer，1965 年 研究 出 移 位 寄存 器 序列 的 理论 【1 和 4 二 。NSA 的 数学 家 
Solomon Golomb， 用 Selmer 和 他 自己 的 成 果 写 了 一 本 书 [643] 。 人 参见 
文献 [970、971、1647] 。 


最 简单 的 反馈 移 位 寄存 器 是 线性 反馈 移 位 寄存 器 (Linear Feedback 
Shift Register, LFSR) ( 见 图 16-2) 。 反 馈 函 数 与 寄存 器 中 的 某 些 位 简 
单 异 或 ， 这 些 位 叫做 抽 头 序列 Cap sequence) ， 有 时 也 叫做 Fibonacci 
配置 (Fibonacci configuration) 。 因 为 这 是 一 个 简单 的 反馈 序列 ， 所 以 
大 量 的 数学 理论 都 能 用 于 分 析 LFSR。 密 码 设计 者 喜欢 分 析 序列 ， 确 保 
它们 是 随机 并 充分 安全 的 。 在 密码 学 中 ，LEFSR 是 移 位 寄存 器 中 最 普通 
的 类 型 。 











图 16-3 所 示 为 4 位 LFSR， 抽 头 位置 在 第 1 位 和 第 4 位 ， 如 果 其 初始 值 
为 1111， 那 么 在 重复 之 前 能 够 产生 下 列 的 内 部 状态 序列 : 


LALLI 
911i 
LULI 
GLO 
Lgl? 
LLG 
O110 
0911 
1001 
0100 
0010 
000 1 
100 0 
1100 
LLL 








输出 序列 是 最 低 有 效 位 的 字符 串 : 


LoL da OT EO OL a Vs 


移 位 寄存 器 





图 16-3” 4 位 LFSR 


一 个 n 位 LFSR 能 够 处 于 2? -1 个 内 部 状态 中 的 一 个 。 这 意味 着 ， 理 论 
上 ，n 位 LFSR 在 重复 之 前 能 够 产生 2 -1 位 长 的 伪 随 机 序列 〈 是 2n -1 而 不 
是 2n ， 因 为 全 零 的 移 位 寄存 器 将 使 LFSR 无 止境 地 输出 零 序列 一 一 这 特 
别 没有 用 处 ) 。 只 有 有 具有 一 定 抽 头 序列 的 LFSR 才 能 循环 地 通过 所 有 2 
-1 个 内 部 状态 ， 这 个 输出 序列 称 为 m 序 列 Gm-sequence) 。 


为 了 使 LFSR 成 为 最 大 周期 的 LFSR， 由 抽 头 序列 加 上 常数 1 形成 的 
多 项 式 必须 是 本 原 多 项 式 模 2。 多 项 式 的 阶 是 移 位 寄存 器 的 长 度 。 一 个 n 











条 一 六 
阶 本 原 多 项 式 是 不 可 约 多 项 式 ， 它 能 整除 二” 而 不 能 整除 xda+1， 其 中 
d 能 整除 20 -1 (参见 11.3 节 ) 。 更 详细 的 数学 理论 参见 文献 【643、 


1649, 1648] 。 





通常 ， 产 生 一 个 给 定 阶 数 的 本 原 多 项 式 模 2 并 不 容易 。 最 简单 的 方 
法 是 选择 一 个 随机 的 多 项 式 ， 然 后 测试 它 是 否 本 原 。 这 是 很 困难 的 《有 
时 像 测 试 一 个 随机 数 是 否 素数 一 样 ) ， 但 是 很 多 数学 软件 包 可 以 做 这 件 
事 。 具 体 的 方法 见 文献 L970. 971] 。 








表 16-2 是 一 些 不 同 阶 数 的 本 原 多 项 式 模 2 [1583、643、1649、1648、 
1272、691」 ， 但 这 并 不 是 全 部 。 例 如 ， 列 出 的 (32, 7, 5, 3, 2, 1, 
0) 是 指 下 列 本 原 多 项 式 模 2; 


X32 +x” +x” 十 X3 +x? +x+1 





很 容易 把 它 转变 成 最 大 周期 LFSR。 第 一 个 数 是 LFSR 的 长 度 ， 最 后 
一 个 数 总 是 0(， 所 以 可 以 忽略 。 除 0 以 外 的 所 有 数字 指明 了 抽 头 序列 ， 这 
些 抽 头 从 移 位 寄存 需 的 左边 开始 计数 。 简 而 言 之 : 本 原 多 项 式 中 抽 头 的 
阶 数 越 低 ， 越 靠近 移 位 寄存 器 的 左边 。 








(31, 3, 0) (53, 6, 2, 1, 0) (76, 5, 4, 2, 0) 


(31, 6, 0) (54, 8, 6, 3, 0) (77,5 65 5, 2, 0) 
(31, 7, 0) (54, 6, 5, 4, 3, 2, 0) (78, 7, 2, 1, 0) 
(31, 13, 0) (55, 24, 0) (79, 9, 0) 
(32, 7, 6, 2, 0) (55, 6, 2, 1, 0) (79, 4, 3, 2, 0) 
(32,5 75 Fy 3y 2+ Ts: 0) (56. 7, 4, 2, 0) (80, 9, 4, 2, 0) 
(33, 13. 0) (57, 7, 0) (80, 7, 5. 3, 2, 1, 0) 
(33, 16, 4, 1, 0) (57, Fa 3, 2, 0) (81, 4, 0) 
0) (34, 8, 4, 3, 0) (58, 19, 0) (82, 9, 6, 4, 0) 
(34, 75 65 55 2s 1, 0) (58, 6, 5. 1, 0) (82, 8, 7, 6, 1, 0) 
(35, 2, 0) (59, 7, 4, 2, 0) (83, 7, 4, 2, 0) 
(36, 11, 0) (59. 6, 5. 4, 3, l, 0) (84, 13. 0) 
0) (36, 6, 5, 4, 2. 1, 0) (60, 1, 0) (84. 8, 7, 5. 3, 1. 0) 
0) (37, 6, 4, 1, 0) (61, 5, 2, 1, 0) (85, 8, 2, 1, 0) 
0) (37, 5, 4, 3, 2, 1, 0) (62, 6, 5, 3, 0) (86, 6, 5, 2, 0) 
(38, 6, 5, 1, 0) (63, 1, 0) (87, 13, 0) 
0) (39, 4, 0) (64, 4, 3, 1, 0) (87, 7, 5, 1, 0) 
(40. 5, 4, 3, 0) (65, 18, 0) (88, 11, 9, 8, 0) 
(41, 3, 0) (65, 4, 3, 1, 0) (88, 8, 5, 4, 3, 1, 0) 
(42, 7, 45 3, 0) (66. 9, 8, 6, 0) (89, 38, 0) 
(42, 5, 4, 3, 2, 1, 0) (66, 8, 6, 5, 3, 2, 0) (89, 51, 0) 
0) (43, 6, 4, 3, 0) (67, 5, 2, 1, 0) (89, 6, 5; 3. 0) 
0) (44, 6. 5, 2, 0) (68. 9, 0) (90, 5, 3, 2, 0) 
(45, 4, 3, 1, 0) (68, 7, 5, 1, 0) (91, 8, 5, 1, 0) 
(46, 8, 7, 6, 0) (69, 6, 5, 2, 0) (91, 7, 6, 5, 3, 2, 0) 
(46, 8, 5, 3, 2, 1, 0) (70, 5, 3, 1, 0) (92. 6 55, 25 0) 
(47, 5, 0) (71, 6, 0) (93, 2, 0) 
0) (48, 9, 7, 4, 0) E/T; 53 3 Es 0) (94, 21, 0) 
(48, 7, 5, 4, 2, 1, 0) (72, 10, 9, 3, 0) (94, 6, 5. 1, 0) 
0) (49, 9, 0) (72, 6, 4, 3, 2, 1, 0) (95, 11, 0) 
0) (49, 6, 5, 4, 0) (73, 25, 0) (95, 6, 5, 4, 2, 1, 0) 
(50, 4, 3, 2, 0) (73, 4; 3, 25 0) (96, 10, 9, 6, 0) 
(51, 6, 3, 1, 0) (74, 7, 4, 3, 0) (96, 7, 6, 4, 3, 2, 0) 
0) (52, 3, 0) (75, 6, 3, 1, 0) (97, 6, 0) 








4216-2 一 些 本 原 多 项 式 模 2 


(98. 

(98, 

(99, 

(100, 
(100, 
(101, 
(102, 
(103, 
(104, 
(105, 
(106, 
(107, 
(108, 
(109, 
(110, 
(111, 
ail. 
(113, 
(113, 
(113, 
(114, 
(115, 
(116, 
(117, 
(118, 
(119, 
(119, 
(120, 
(121, 
(122, 
(123, 
(124, 
(125, 
(126, 
(127, 
(127, 
(127, 
(128, 
(129, 
(130, 
(131, 
(132, 


11, 0) 

7, 4, 3, 1, 0) 
dy Dx 43 0) 
37, 0) 

8, Zo 2, 10) 
7, 6, 1, 0) 
6530) 

9, 9) 

11, 10, 1, 0) 
16. 0) 

15), O 

9, 7, 4, 0) 
31, 0) 

üy. 44 25 10) 
6, 4, 1, 0) 
10, 0) 

49, 0) 

9, 0) 

15, 0) 

30, 0) 

lis Bs 15: 0) 
8, 7, 5, 0) 
6; 55 2, 0) 
5, 2, 1, 0) 
33. 0) 

8. 0) 

45, 0) 

9 bs By (OR 
18, 0) 

6, 2, 1, 0) 
2,0) 

37, 0) 

hs 65. -Sa 40) 
hs Aa 25 1 
1, 0) 

7，0) 
63，0) 

hy By Ty 0) 
5, 0) 

3, 0) 

8, 3, 2, 0) 
29. 0) 


(133, 
(134, 
(135, 
(135, 
(135, 
(136, 
(137, 
(138, 
(139, 
(140. 
(141， 
(142， 
(143. 
(144, 
(145. 
(145, 
(146, 
(147, 
(148, 
(149, 
(150, 
(151. 
(151, 


9, 8. 2, 0) 
57, 0) 

11, 0) 

16, 0) 

22, 0) 

8. 3, 2, 0) 
21, 0) 

Es Ta Ty 0) 
8. 5, 3, 0) 
29, 0) 

13, 6, 1, 0) 
21, 0) 

5s 3s 2, 0) 


7, 4, 2, 0) 

52, 0) 

69. 0) 

5; 3, 2s 0) 

Il, 4, 2, 0) 
27, 0) 

103) 95) 75 0) 
53, 0) 

3. 0) 

9, 0) 

15. 0) 

31. 0) 

39, 0) 

43, 0) 

46, 0) 

51, 0) 

63, 0) 

66. 0) 


9. 5, 1, 0) 
7, 5. 4, 0) 
9. 5, 3, 0) 
6, 55 2, 0) 
8. 6, 5. 0) 
31, 0) 


(160, 
(161, 
(161, 
(161. 
(162, 
(163, 
(164. 
(165. 
(166, 
(167, 
(170, 
(172, 
(174, 
(175, 
(175. 
(175, 
(175, 
(177, 
(177, 
(177. 
(178, 
(183, 
(194, 
(198, 
(201, 
(201, 
(201, 
(201. 


(202, £ 
(207, 4 


(212, 
(218, 
(218, 
(218, 
(218, 
(225, 
(225, 
(225. 
(225, 
(225, 


34. 0) 
40, 0) 
5s 3, 25 0) 
18, 0) 
39, 0) 
60, 0) 
8, 7, 4, 0) 
7, 6, 3, 0) 
12, 6. 5, 0) 
9, 8, 3, 0) 
10, 3, 2, 0) 
6, 0) 
23, 0) 
2, 0) 


74, 0) 
88, 0) 
97, 0) 
109. 0) 


(231. 
(231, 
(234, 
(234, 
(236, 
(250, 
(255, 
(255, 
(255, 
(258, 
(266, 
(270, 
(282, 
(282, 
(286. 
(286. 
(294, 
(322, 
(333, 
(350, 
(366, 
(378, 
(378, 
(390, 
(462. 


(2281, 
(2281, 
(2281, 
(3217. 
(3217, 
(4423, 
(9689, 


S 


26. 0) 
34, 0) 
31, 0) 
103, 0) 
5, 0) 
103, 0) 
525 0) 
56, 0) 
82, 0) 
83, 0) 
47, 0) 
133, 0) 
35, 0) 
43, 0) 
69, 0) 
73. 0) 
6l, 0) 
67, 0) 
2, 0) 
53, 0) 
29, 0) 
43, 0) 
107, 0) 
89, 0) 
73. 0) 
32, 0) 
48, 0) 
158, 0) 
168, 0) 
105, 0) 
147, 0) 
273, 0) 
216, 0) 
418, 0) 
715, 0) 
915, 0) 
1029, 0) 
67. 0) 
576, 0) 
271, 0) 
84. 0) 


继续 这 个 例子 ， 列 出 的 32, 7, 5, 3,2, 1,0) 意味 着 如 果 使 用 
了 32 位 移 位 寄存 器 ， 且 通过 对 第 32、7、5、3、2 和 1 位 进行 异 或 产生 一 
个 新 位 〈 见 图 16-4) ， 则 得 到 的 LFSR 将 是 最 大 长 度 LFSR。 在 重复 之 
前 ， 它 将 循环 地 通过 232 -1 个 值 。 






输出 位 






图 16-4 ”32 位 最 大 长 度 LFSR 


这 个 LFSR 的 C 语 言 代 码 为 : 


int LFSR () { 
static unsigned long ShiftRegister = 1; 
/* Anything but 0. */ 
ShiftRegister = ((((ShiftRegister >> 31) 
^ (ShiftRegister >> 6) 
ShiftRegister >> 4) 
ShiftRegister >> 2) 
(ShiftRegister >> 1) 
ShiftRegister) ) 
& Ox00000001) 
ee 3L) 
| (ShiftRegister >> 1) ; 
return ShiftRegister & 0x00000001; 


( 
a 
( 


当 移 位 寄存 器 比 计算 机 的 字 长 还 要 长 时 ， 这 个 程序 稍微 复杂 一 些 ， 
但 不 会 有 较 大 的 变化 。 








注意 ， 表 中 列 出 的 所 有 项 的 系数 都 是 奇数 。 我 提供 了 这 人 么 大 的 表 是 
因为 LFSR 经 常用 在 序列 密码 中 ， 这 么 多 不 同 的 实例 可 使 得 不 同 的 人 选 
择 不 同 的 本 原 多 项 式 。 如 果 p (x) 是 本 原 多 项 式 ， 那 么 x"p (1/x) 也 
是 本 原 多 项 式 ， 因 此 这 张 表 中 的 每 一 项 实质 上 包括 了 两 个 本 原 多 项 式 。 

















例如 ， 如 果 (a，b，0) 是 本 原 多 项 式 ， 那 么 (a，a-b，0) 也 是 本 
原 多 项 式 ; WE (a，b，c，d，0) 是 本 原 多 项 式 ， 那 么 Ca, ad, a 
cœ ab, 0) 也 是 本 原 多 项 式 。 数 学 上 可 表示 为 : 








如 果 xa +x> +1 是 本 原 多 项 式 ， 那 么 xa +xab +1 也 是 。 





如 果 x3 +x +Xc +x4 +1 是 本 原 多 项 式 ， 那 么 xa +x*4 +Xac tax? +1 也 


H 
KE o 


本 原 三 项 式 软件 实现 速度 最 快 ， 因 为 每 产生 一 个 新 位 仅 需 要 移 位 寄 
存 器 中 的 两 位 异 或。 事实 上 ， 表 16-2 中 列 出 的 所 有 反馈 多 项 式 是 很 稀 玻 
WJ (sparse) ， 意 思 是 指 其 系数 较 少 ， 这 常常 会 使 算法 变 弱 ， 有 时 足以 
破译 算法 。 笛 密 的 (dense〉 本 原 多 项 式 是 指 系数 较 多 ， 这 对 于 密码 学 
应 用 来 说 要 好 得 多 。 如 采用 稠密 的 本 原 多 项 式 并 使 其 成 为 密 钥 的 一 部 
分 ， 那 么 可 以 用 许多 较 短 的 LFSR。 








产生 稠密 的 本 原 多 项 式 模 2 并 不 容易 。 通 常 ， 产 生 一 个 k 阶 本 原 多 项 
式 需 要 进行 2k -1 次 因 式 分 解 。 这 里 提供 了 三 本 较 好 的 产生 本 原 多 项 式 的 
参考 书 ， 见 文献 L652, 1285, 1287] - 





LEFSR 本 身 是 适宜 的 伪 随 机 序列 发 生 器 ， 但 它们 也 有 一 些 讨 厌 的 非 
随机 特性 。 时 序 位 都 是 线性 的 ， 这 使 它们 在 加 密 时 都 没有 用 处 。 对 长 度 
为 n 的 LFSR， 发 生 器 的 前 n 个 输出 位 就 是 它 的 内 部 状态 ， 甚 至 在 反馈 形 
式 未知 的 情况 下 ， 也 仅 需 要 发 生 器 的 2n 个 输出 位 就 可 用 高 效 的 
Berlekamp-Massey 算 法 来 确定 该 状态 “1082、1083」 (参见 16.3 节 ) 。 











从 这 个 序列 中 产生 的 大 的 随机 数 具 有 高 的 相关 性 ， 而 且 对 茶 些 应 用 
类 型 ， 它 完全 不 随机 。 虽 然 如 此 ，LEFSR 在 加 密 算法 中 仍 经 常 被 用 于 构 





LFSR 的 软件 实现 





LFSR 用 软件 实现 起 来 比较 慢 ， 但 是 用 汇编 语言 实现 比 C 语 言 快 。 一 
种 解决 办 法 是 并 列 运 行 16 个 LFSR (或 32 个 ， 视 计算 机 字 长 而 定 ) 。 这 
种 方法 采用 字 的 数组 ， 其 长 度 是 LFSR 的 长 度 ， 字 中 每 一 位 表示 不 同 
LFSR 中 的 相应 位 。 假 定 所 有 的 反馈 多 项 式 相 同 ， 则 运行 速度 非常 快 。 
通常 ， 更 新 线性 寄存 器 最 好 的 方法 是 通过 适当 的 二 进 制 结构 产生 当前 的 
状态 [901], 








也 可 以 改变 LFSR 的 反馈 形式 ， 得 到 的 生成 器 从 密码 学 意义 上 来 说 
不 会 更 好 ， 但 是 它 仍 然 具有 最 大 周期 并 且 容 易 用 软件 实现 “12724 。 不 
使 用 抽 头 序列 中 的 位 来 产生 新 的 最 左 位 ， 而 是 采用 抽 头 序列 中 的 每 一 位 
与 发 生 器 的 输出 相 异 或 ， 并 用 异 或 结果 取代 抽 头 序列 的 那 一 位 ， 同 时 发 
生 器 的 输出 作为 新 的 最 左 位 〈 见 图 16-5) 。 这 有 时 叫做 Galois 配 置 


(Galois configuration) 。 























图 16-5 Galois LFSR 


C 语 言 描述 如 下 : 


#define mask 0x80000057 


static unsigned long ShiftRegister=1; 
void seed_LFSR (unsigned long seed) 


{ 
if (seed == 0) /* avoid calamity */ 
seed = 1; 
ShiftRegister = seed; 


} 


int modified LFSR (void) 
{ 
if (ShiftRegister & 0x00000001) { 
ShiftRegister = ((ShiftRegister ^ mask >> 1) | 
0x8000000; 
BRECUrH: lz 
} else { 
ShiftRegister >>= 1; 
return 0; 


这 里 解决 的 是 把 所 有 异 或 作为 单个 运算 来 进行 。 它 也 可 以 并 行 处 
理 ， 并 且 不 同 的 反馈 多 项 式 也 是 不 同 的 。Galois 配 置 用 硬件 实现 更 快 ， 
尤其 是 用 自制 的 VLSI 实现 。 一 般 而 言 ， 如 果 你 使 用 有 利于 移 位 的 硬 
件 ， 那 么 束 用 Fibonacci 配 置 ， 如 果 使 用 并 行 运算 ， 那 么 就 用 Galois 配 
置 。 





16.3 ”序列 密码 的 设计 与 分 析 


大 多 数 实际 的 序列 密码 都 围绕 LFSR 进 行 设计 。 在 电子 时 代 的 早 
期 ， 它 们 非常 容易 构造 。 一 个 移 位 寄存 器 除了 一 个 存储 位 的 数组 外 就 没 
有 其 他 什么 东西 了 ， 并 且 反 馈 序列 是 一 串 寞 或 门 。 倘 名 用 VLSI 电 路 ， 
一 个 基于 LFSR 的 序列 密码 仅 用 一 些 多 辑 门 就 能 给 你 较 高 的 安全 性 。 








LEFSR 的 问题 是 ， 用 软件 实现 其 效率 非 钊 低 。 想 要 避免 黎 琉 的 反馈 
多 项 式 〔 它 们 很 容易 遭 到 相关 攻击 11051, 1090. 350] ) ， 但 是 稠密 的 反 
馈 多 项 式 效率 也 很 低 。 序 列 密码 一 次 只 输出 1 位 。 为 了 加 密 DES 执 行 一 
次 达 代 就 能 加 密 的 数据 ， 用 LFSR 不 得 不 重复 达 代 64 次 。 事 实 上 ， 一 个 
类 似 后 面 所 描述 的 收缩 式 发 生 器 的 LFSR 算 法 用 软件 实现 并 不 比 DES 
kh 


密码 学 的 这 一 个 分 广发 展 很 快 ， 并 受 政治 的 影响 很 大 。 大 多 数 设计 
都 是 保密 的 ， 现 在 所 用 的 大 量 军事 密码 系统 都 基于 LFSR。 事 实 上 ， 大 
多 数 的 Cray 计 算 机 (Cray 1、Cray X-MP 和 Cray Y-MP) 都 有 一 个 相当 十 
怪 的 通常 叫做 “人 口 计算 ”的 结构 。 它 在 寄存 器 中 计算 一 个 位 组 ， 并 能 用 
于 有 效 地 计算 两 个 二 进 制 字 之 间 的 Hamming 距 离 ， 还 能 执行 LFSR 的 癌 
量 码 。 我 听 说 这 叫做 规范 的 NSA 指 示 ， 要 求 所 有 的 计算 机 都 得 如 此 。 














男 一 方面 ， 令 人 吃惊 的 是 大 量 看 上 去 很 复杂 的 基于 移 位 寄存 器 的 发 





生 絮 均 倍 破译 了 。 许 多 类 似 于 NSA 的 军事 密码 分 析 机 构 破 译 了 许多 发 生 
胡 。 有 时， 一 次 又 一 次 地 提出 简单 问题 让 人 很 惊讶 。 


16.3.1 线性 复杂 性 


分 析 序 列 密码 常常 比分 析 分 组 密码 容易 。 例 如 ， 用 于 分 析 基 于 
LFSR 的 一 个 重要 的 公认 准则 是 线性 复杂 性 dinear complexity) 。 它 定 
义 了 一 个 最 短 长 度 为 ?的 LFSR， 它 能 模拟 发 生 器 的 输出 。 有 限 状 态 机 产 
生 的 任何 序列 都 覆盖 整个 具有 有 限 线性 复杂 性 的 有 限 域 [1006」 。 线 性 
复杂 性 很 重要 ， 因 为 一 个 称 为 Berlekamp-Massey 的 简单 算法 ， 在 仅 检 测 
密 钥 序列 的 2n 个 位 后 就 能 够 产生 LFSR “1005」。 一旦 产生 了 这 个 


LFSR， 你 束 破 译 了 这 个 序列 密码 。 


当 输 出 序列 被 看 做 覆盖 整个 具有 奇数 特性 的 域 的 序号 时 [8424 ， 这 
种 方法 从 域 扩 展 到 环 "1298」 。 进 一 步 的 提高 是 提出 了 线性 复杂 性 曲线 
(linear complexity profile) 概念 。 当 序列 越 来 越 长 时 ， 线 性 复杂 性 曲线 
用 于 评估 其 线性 复杂 性 【1357、1168、411、1582] 。 计 算 线 性 复杂 性 的 另 一 
个 算法 仅仅 用 于 非常 特殊 的 环境 中 [597、595、596、1333」 。 在 文献 
L776」 中 对 线性 复杂 性 有 一 个 概括 。 此 外 ， 还 提出 了 二 维 复杂 性 
[844] 和 三 维 复杂 性 【50?」 的 概念 。 





在 任何 情况 下 ， 都 必须 记 住 : 高 的 线性 复杂 性 并 不 代表 一 个 安全 的 





发 生 器 ， 而 一 个 低 的 线性 复杂 性 则 表明 它 肯 定 不 安全 “1357、1249」， 


16.3.2 ”相关 免疫 性 


密码 设计 者 通过 采用 非 线 性 方法 组 合 多 个 输出 序列 得 到 高 的 线性 复 
杂 性 。 这 里 的 危险 是 一 个 或 者 更 多 的 内 部 输出 序列 《常常 正好 是 独立 
LFSR 的 输出 〉 与 组 合 密 码 序列 相关 ， 并 且 易 受 线性 代数 的 攻击 。 常 常 
将 这 称 为 相关 攻击 (correlation attack) 或 分 治 攻 击 (divide-and-conquer 
attack) > Thomas Siegenthaler 给 出 了 相关 免疫 性 (correlation 
immunity) 的 精确 定义 ， 并 且 在 相关 免疫 性 和 线性 复杂 性 之 间 给 出 了 一 
个 折 中 办 法 。 








相关 攻击 的 基本 思想 是 识别 发 生 需 的 输出 和 它 内 部 块 的 茶 一 块 之 间 
的 相关 性 。 然 后 ， 通 过 观察 输出 序列 ， 获 得 关于 其 内 部 输出 的 一 些 信 
恩 。 用 这 些 信息 和 其 他 的 相关 性 ， 搜 集 其 他 内 部 输出 的 相关 性 ， 直 到 整 
DBA a BOF o 











相关 攻击 和 它 的 变型 ， 如 快速 相关 攻击 (这 里 指 介 于 计算 复杂 性 和 
效率 之 间 的 一 个 折 中 ) ， 成 功 地 应 用 于 许多 基于 LFSR 的 密 钥 序列 发 生 


器 中 [1451. 278、 1452. 572, 1636, 1051. 1090. 250. 632. 1054, 1089、995j 7 MA 


EXPP AS AR e A RATAL L46. 1641] 。 


1633 江 他 用 击 





还 有 其 他 一 些 针 对 密 钥 序列 发 生 器 的 一 般 攻 击 。 线 性 一 致 性 测试 
(linear consistency test) i AFI FASE ME a xe on a A ge -16384 。 
BA la) AGE E Cmeet-in-the-middle consistency attack) 【39、 
4) 。 线 性 并 发 位 算法 (inear syndrome algorithm) 依靠 将 输出 序列 的 
片段 作为 一 个 线性 等 式 (1636. 1637] 。 还 有 最 佳 仿 射 逼近 攻击 《best 
affine approximation attack) 【502」 和 派生 序列 攻击 (derived sequence 
attack) [4] 。 与 线性 密码 分 析 一 样 [ll ， 差 分 密码 分 析 技 术 也 可 
用 于 序列 密码 中 [501] 。 


16.4 使 用 LFSR 的 序列 密码 


设计 使 用 LFSR 的 密码 序列 发 生 器 的 方法 很 简单 。 首 先 ， 用 一 个 或 
两 个 LFSR， 通 常 要求 它 们 有 具有 不 同 长 度 和 不 同 反馈 多 项 式 〈 如 果 其 长 
度 互 素 ， 并 且 反 馈 多 项 式 是 本 原 的 ， 那 么 整个 发 生 器 具有 最 大 的 长 
FE) 。 密 钥 是 LFSR 的 初始 状态 ， 每 次 取 1 位 ， 然 后 将 LFSR 移 位 一 次 
6 有 时 叫做 一 个 时 钟 (clock〉)〉 。 输 出 位 是 LFSR 中 某 些 位 的 函数 ， 

好 是 非 线 性 函数 ， 这 个 函数 叫做 组 合 函 数 (combining function) ， 并 且 
整个 发 生 器 叫做 组 合 发 生 器 (combination generator) (如 果 输 出 位 是 
单个 LFSR 函 数 ， 那 么 这 个 发 生 器 叫做 过 滤 发 生 器 filter 

generator) ) 。 有 关 这 类 问题 更 多 的 理论 ，Selmer 和 Neal Zierler 在 文献 
[1647」 中 有 所 记载 。 








复杂 程度 渐渐 增加 。 有 些 发 生 器 用 不 同 频率 的 时 钟 驱动 ， 有 时 一 个 
发 生 器 的 时 钟 依 赖 于 另 一 个 发 生 器 的 输出 。 第 二 次 世界 大 战 之 前 ， 所 有 
密码 机 方案 的 电子 版 本 称 为 钟 控 发 生 器 (clock-controlled generators) 
Leal 。 时 钟 控制 能 够 向 前 反馈 ， 使 得 一 个 LFSR 的 输出 控制 另 一 个 
LFSR 的 时 钟 ， 或 者 疝 后 反馈 ， 使 得 一 个 LFSR 的 输出 控制 它 自 己 的 时 
钟 。 





尽管 这 些 发 生 器 至 少 在 理论 上 易 受 嵌入 和 概率 相关 攻击 [634、632] 





， 但 是 大 多 数目 前 还 是 很 安全 的 。 关 于 钟 控 移 位 寄存 器 的 更 多 理论 见 
[89] 。 


作为 剑桥 大 学 纯 数学 的 前 领导 者 和 Bletchly Park 前 密码 学 家 ，Ian 
Cassells 说 : “密码 学 是 数学 和 混乱 的 一 个 混合 体 ， 如 果 没 有 混乱 ， 数 学 
将 会 背叛 你 。” 他 的 意思 是 指 在 序列 密码 中 ， 你 需要 一 些 密码 结构 比 
如 LEFSR) 以 保证 具有 最 大 长 度 和 其 他 特性 ， 然 后 复杂 的 非 线性 混乱 将 
阻止 别人 得 到 寄存 器 并 解密 它 。 这 个 建议 对 分 组 算法 也 很 有 效 。 








下 面 是 文献 中 基于 LFSR 密 钥 序 列 发 生 右 的 一 些 简 单 的 描述 。 我 并 
不 知道 它们 是 否 真 的 用 于 密码 产品 中 。 它 们 中 的 大 多 数 仅 在 理论 上 较 
好 。 有 些 已 经 被 破译 ， 有 些 可 能 还 是 安全 的 。 











因为 基于 LFSR 的 密码 通常 用 硬件 产生 ， 所 以 在 图 中 使 用 了 电子 好 
辑 标 识 符 。 在 文本 中 ，@ 表 示 异 或 、 八 表示 与 、V 表示 或 、 “1 表示 
非 。 


16.4.1 ”Geffe 发 生 器 


这 个 密 钥 序列 发 生 器 使 用 了 3 个 LFESR， 它 们 以 非 线性 方式 组 合 而 成 
( 见 图 16-6) 16%] ， 两 个 LFSR 作 为 复合 器 的 输入 ， 第 三 个 LFSR 控 制 
复合 器 的 输出 ， 如 果 al 、a Ma, 是 3 个 LFSR 的 输出 ， 则 Geffe 发 生 器 的 
输出 表示 为 : 


b= Ca, 人 a») D(a) A a3) 


如 果 3 个 LFSR 的 长 度 分 别 为 ni n 和 na ， 那 么 这 个 发 生 器 的 线性 
复杂 性 为 : 


(n; +1) n +n, ns 


这 个 发 生 器 的 周期 是 3 个 LFSR 周 期 的 最 小 公 倍数 。 假 设 3 个 本 原 反 
馈 多 项 式 的 阶 数 互 素 ， 那 么 这 个 发 生 右 的 周期 是 3 个 LFSR 周 期 的 积 。 


b(t) 





图 16-6 ”Geffe 发 生 器 


里 然 这 个 发 生 器 从 理论 上 看 起 来 很 好 ， 但 实质 上 很 弱 ， 并 不 能 抵抗 
相关 攻击 [829、1638」 。 发 生 器 的 输出 与 LFSR-2 的 输出 有 75% 的 时 间 是 
相同 的 。 因 此 ， 如 果 已 知 反 馈 抽 头 ， 便 能 猜 出 LFSR-2 的 初 值 和 寄存 天 
所 产生 的 输出 序列 。 然 后 整 能 计算 出 LFSR-2 的 输出 与 这 个 发 生 右 的 输 


出 相同 的 次 数 。 如 果 猜 错 了 ， 两 个 序列 相同 的 概率 为 50%; 如 果 猜 对 
了 ， 两 个 序列 相同 的 概率 为 75%。 


类 似 地 ， 发 生 器 的 输出 与 LFSR-3 的 输出 相等 的 概率 为 75%。 有 了 
这 种 相关 性 ， 密 钥 序 列 发 生 器 很 容易 被 破译 。 例 如 ， 如 果 3 个 本 原 多 项 
式 都 是 三 项 式 ， 其 中 最 大 长 度 为 "， 那 么 仅 需 要 37n 位 的 一 段 输出 序列 就 
可 重 构 这 3 个 LFSR 的 内 部 状态 [1639」 。 





16.4.2 ”推广 的 Geffe 发 生 器 








这 种 方法 不 在 两 个 而 在 k 个 LFSR 中 进行 选择 ，k 是 2 的 寡 。 总 共有 
k+1 个 LFSR〈 见 图 16-7) 。LFSR-1 必 须 比 其 他 k 个 LFSR 运 行 快 log, k 


倍 。 


这 种 方法 比 Geffe 有 发 生 嚣 复杂， 而 且 同 样 可 能 受到 相关 攻击 。 我 不 
推荐 这 种 发 生 器 。 


LFSR-n+1 





b(t) 


图 16-7 ”推广 的 Geffe 发 生 右 


16.4.3 ”Jennings 发 生 器 





这 个 发 生 器 用 了 一 个 复合 器 来 组 合 两 个 LFSR [778、779、 780]。 册 
LFSR-1 控 制 的 复合 器 为 每 一 个 输出 位 选择 LFSR-2 的 一 位 。 用 一 个 函数 
将 LFSR-2 的 输出 映射 到 复合 器 的 输入 〈( 见 图 16-8) 。 


b(t) 





图 16-8 Jennings 发 后 器 


密 钥 是 两 个 LFSR 和 了 映射 函数 的 初始 状态 。 虽 然 这 个 发 生 器 有 好 的 
统计 特性 ， 但 它 不 能 抗 Ross Anderson 的 中 间 相 遇 一 致 性 攻击 [39」 和 线 
性 一 致 性 攻击 11638- 4421 。 不 要 使 用 这 个 发 生 器 。 


16.4.4 Beth-Piper 停 走 式 发 生 器 


这 个 发 生 器 用 一 个 LFSR 的 输出 来 控制 另 一 个 LFSR 的 时 钟 【151] 
( 见 图 16-9) 。LFSR-1 的 输出 控制 LFSR-2 的 时 钟 输入 ， 使 得 LEFSR-2 仅 
当 LFSR-1 在 时 间 t-1 的 输出 是 1 时 ， 能 在 时 间 t 改 变 它 的 状态 。 











图 16-9 ”Beth-Piper 停 走 式 发 生 器 


没 人 能 够 证 明 这 种 发 生 需 在 通 向 情况 下 的 线性 复杂 性 。 然 而 ， 它 不 
能 抗 相关 攻击 11039! 。 





16.4.5 ”交错 停 走 式 发 生 器 


这 个 发 生 器 用 了 3 个 不 同 长 度 的 LFSR。 当 LFSR-1 的 输出 是 1 时 ， 
LFSR-2 被 时 钟 驱 动 ; 当 LFSR-1 的 输出 是 0 时 ，LFSR-3 被 时 钟 驱动 。 这 个 
发 生 器 的 输出 是 LFSR-2 和 LFSR-3 输 出 的 异 或 〈 见 图 16-10) 16731 。 





图 16-10 ZEITER Et 


这 个 发 生 器 具有 长 的 周期 和 大 的 线性 复杂 性 ， 设 计 者 找到 了 针对 
LEFSR-1 的 相关 攻击 ， 但 本 质 上 它 并 没有 削弱 这 个 发 生 器 。 沿 着 这 种 基 
本 思想 ， 还 有 其 他 一 些 密 钥 序列 发 生 器 [1534 1574 1477] 。 


16.4.6” 双 侧 停 走 式 发 生 器 


这 个 发 生 器 使 用 了 两 个 长 度 为 n 的 LFSR( 见 图 16-11) 11638」。 这 
个 发 生 器 的 输出 是 两 个 LFSR 输 出 的 异 或 。 如 果 LFSR-2 在 时 间 t-1 时 ， 输 
出 是 0; 在 时 间 t 一 2 时 ， 输 出 是 1， 那 么 在 时 间 t 时 ，LFSR-2 将 不 会 步 
进 。 相 反 ， 如 果 LFSR-1 在 时 间 t-1 时 ， 输 出 为 0;， 在 时 间 t-2 时 ， 输 出 为 
1， 同 时 LFSR-1 在 时 间 t 时 已 经 步 进 ， 那 么 LFSR-2 在 时 间 t 时 不 能 步 进 。 


® (1) 


n 级 LFSR-2 


n 级 LFSR-1 


® (1) 





图 16-11 ” 双 侧 停 走 式 发 生 右 
这 个 发 生 器 的 线性 复杂 性 大 约 等 于 它 的 周期 ， 根 据 文献 
L1638」,，“ 在 这 个 系统 中 没有 友 现 明显 的 密 钥 见 余 度 。” 


16.4.7 ”门限 发 生 器 


这 个 发 生 器 试 岁 通过 使 用 可 变数 量 的 LTFSR 来 避免 前 面 发 生 需 的 安 
全 性 问题 “277」 。 理 论 根据 是 ， 如 果 使 用 了 很 多 LFSR， 将 更 难 破译 这 
种 密码 。 





图 16-12 ”门限 发 生 器 


这 个 发 生 器 如 图 16-12 所 示 ， 考 虑 一 个 大 数 的 LFSR 的 输出 使 LFSR 
的 数目 是 奇数 ) ， 确 信 所 有 LFSR 的 长 度 互 素 ， 且 所 有 的 有 反馈 多 项 式 都 
是 本 原 的 ， 这 样 可 以 达到 最 大 周期 。 如 果 超 过 一 半 的 LFSR 的 输出 是 1， 
那么 发 生 器 输出 是 1; 如 果 超 过 一 半 的 LFSR 的 输出 是 0， 那 么 发 生 器 的 


输出 是 0。 





3 个 LFSR 发 牛 器 的 输出 可 表示 为 : 


b= (a, A oo 由 (al A az) & Caz A az) 





eS RA a Geffe ERER, BRT CAA KATE ARTE 
ar 


Ny Ny *Ny Ng +N Ng 
这 里 ni . ny 和 ns 分 别 表 示 第 一 、 第 二 和 第 三 个 LFSR 的 长 度 。 


这 个 发 生 器 并 不 好 ， 发 生 右 的 每 个 输出 位 产生 LFSR 状 态 的 一 些 信 
息 〈 刚 好 是 0.189 位 ) ， 并 且 它 不 能 抗 相关 攻击 。 我 建议 不 要 使 用 这 种 


16.4.8 FORE ACE at 





目 采 样 发 生 器 是 控制 自己 时 钟 的 发 生 器 。 己 提出 了 两 种 类 型 的 自 采 
样 发 生 器 ， 一 种 是 Rainer Rueppel 提 出 的 〈 见 图 16-13) 11359] ， 另 一 个 


Bill Chambers 和 Dieter Gollmann 提 出 的 〈 见 图 16-14) [1308] 。 














O: 被 时 钟 驱动 < 次 
L: 被 时 钟 驱动 人 次 oT i = 


图 16-13 ”Rueppel 自 采样 发 生 器 


在 Rueppel 发 生 器 中 ， 当 LEFSR 的 输出 是 0 时 ，LEFSR 被 时 钟 驱 动 d 次 ; 
当 LFSR 的 输出 是 1 时 ， 它 被 时 钟 驱动 k 次 。Chamber 和 Gollmann 发 生 器 更 
复杂 ， 但 思想 是 相同 的 。 不 幸 的 是 ， 这 两 个 发 生 器 都 不 安全 【1639] ， 
尽管 提出 了 一 些 更 改 意见 来 更 正 那 些 缺 点 [13624 。 








b(t) 


O: 被 时 钟 驱 动 4 次 
1: 被 时 钟 驱动 /次 





图 16-14 “Chambers 和 Gollmann 自 采样 发 生 器 





16.4.9 多 倍速 率 内 积 式 发 生 器 


Massey 和 Rueppd 提 出 的 这 个 发 生 器 [10144 使 用 两 个 利用 不 同 速率 
时 钟 驱动 的 LFSR( 见 图 16-15) ，LEFSR-2 的 时 钟 是 LFSR-1 时 钟 的 d 倍 ， 
将 两 个 LFSR 的 独立 位 相 与 ， 然 后 异 或 以 产生 这 个 发 生 器 的 最 终 输 出 





b(t) 








图 16-15 多 倍速 京 内 积 式 发 生 右 


虽然 这 个 发 生 器 有 很 高 的 线性 复杂 性 ， 也 有 极 好 的 统计 特性 ， 但 它 
仍 不 能 抗 线性 相关 攻击 .1639」 。 如 果 ni 是 LFSR-1 的 长 度 ，n, 是 LFSR-2 
的 长 度 ，d 是 它们 之 间 的 速率 因子 ， 那 么 这 个 发 生 器 能 从 长 度 为 ni +n, 
+og, d 的 一 段 输出 序列 中 恢复 发 生 器 的 内 部 状态 。 











16.4.10 RARE 


Rainer Rueppelixtt SIX ACE A RAE AE Pi E 
LFSR 的 输出 相 加 【1358、135”」 。 这 种 运算 是 高 度 非 线性 的 。 直 到 20 志 纪 
80 年 代 末 这 个 发 生 器 还 是 安全 的 。 但 近来 它 被 相关 攻击 破译 [1053、 
1054, 1091] 。 在 17.4 节 中 给 出 了 一 个 带 进位 移 位 寄存 器 的 反馈 例子 ， 它 
也 能 被 破译 [84] 。 


16.4.11 DNRSG 








它 代表 动态 随机 数 发 生 器 ”L1117」 ， 其 基本 思路 是 用 两 个 不 同 的 
过 滤 发 生 器 (门限 、 求 和 或 其 他 ) ， 它 由 一 个 LFSR 设 置 ， 并 由 另 一 个 
LFSR 控 制 。 


首先 驱动 所 有 的 LFSR， 如 果 LFSR-0 的 输出 是 1， 那 么 计算 第 一 个 过 
滤 发 生 妖 的 输出 ， 如 果 LFSR-0 的 输出 是 0， 那 么 计算 第 二 个 过 滤 发 生 右 


的 输出 。 最 后 将 这 两 个 输出 异 或 得 到 最 后 的 输出 。 


16.4.12 Gollmann 级 联 


在 文献 [636，309] 中 描述 的 Gollmann 级 联 是 停 走 式 发 生 器 的 加 强 
形式 〈 见 图 16-16) 。 它 由 一 串 LFSR 组 成 ， 其 中 每 一 个 LFSR 的 时 钟 都 受 
前 一 个 LFSR 的 控制 。 如 果 在 时 间 t-1 时 ，LFSR-1 的 输出 是 1， 那 么 将 步 
进 到 LFSR-2; 如 果 在 时 间 t-1 时 ，LFSR-2 的 输出 是 1， 那 么 将 步 进 到 
LFSR-3; 以 此 类 推 。 最 后 一 个 LFSR 的 输出 就 是 这 个 发 生 器 的 输出 。 如 
果 所 有 的 LFSR 有 相同 的 长 度 n， 那 么 由 k 个 LFSR 组 成 的 这 个 发 生 器 的 线 
性 复杂 性 为 n (22-1) Kt, 





图 16-16 Gollmann2 kk 


级 联 是 一 个 很 好 的 办 法 : 它 在 概念 上 非常 简单 ， 并 且 可 以 用 来 产生 
长 周期 、 蜗 线性 复杂 性 和 好 的 统计 特性 的 序列 。 它 易 受 锁定 (lock-in) 
攻击 "640」 。 锁 定 是 一 种 密码 分 析 者 重 构 级 联 中 最 后 一 个 移 位 寄存 器 的 
输入 ， 然 后 逐 级 攻击 的 技术 。 在 某 些 情况 下 ， 这 是 一 个 很 严重 的 问题 ， 
并 且 它 减弱 了 算法 的 有 效 密 钥 长 度 。 采 取 一 些 预防 措施 能 减轻 这 种 攻 





进一步 的 分 析 表 明 当 k 增 大 时 ， 序 列 更 接近 随机 L637 638. 642. 639] 
。 基 于 最 近 对 较 小 的 Gollmann 级 联 的 攻击 ， 我 建议 值 至 少 为 15。 用 大 量 
的 短 LFSR 比 用 少量 的 长 LFSR 好 。 





16.4.13 ”收缩 式 发 生 器 


与 前 面 的 发 生 器 相 比 较 ， 收 缩 式 发 生 器 “378」 采用 不 同类 型 的 时 钟 
控制 。 发 生 器 使 用 两 个 LFSR: LFSR-1 和 LFSR-2。 它 们 都 受 时 钟 控制 。 
如 果 LFSR-1 的 输出 是 1， 那 么 发 生 器 输出 LFSR-2; 如 果 LFSR-1 的 输出 是 
0， 则 丢掉 两 位 ， 两 个 LFSR 在 时 钟 控制 下 重复 操作 。 








这 个 方法 很 简单 ， 效 率 很 高 ， 并 且 看 上 去 也 安全 。 如 果 反 馈 多 项 式 
稀疏 ， 那 么 发 生 器 易 受 攻击 ， 但 是 还 没有 发 现 其 他 问题 。 尽 管 如 此 ， 它 
还 是 一 个 新 的 方法 。 其 实现 上 的 问题 是 速度 不 固定 ， 如 果 LFSR-1 有 很 
长 一 段 连续 的 0， 那 么 发 生 霹 束 不 会 输出 。 设 计 者 建议 用 缓冲 器 来 解决 
这 个 问题 378] 。 文 献 [90] 中 也 讨论 了 收缩 式 发 生 器 的 实现 问题 。 





16.4.14 HNR 


自 收缩 式 发 生 器 [1050」 是 收缩 式 发 生 器 的 一 个 变型 。 它 没有 使 用 
两 个 LFSR， 而 是 使 用 从 一 个 LFSR 中 产生 出 的 一 对 位 。 时 钟 驱动 一 个 


LEFSR 两 次 。 如 果 第 一 位 是 1， 那 么 发 生 喜 的 输出 丈 是 第 二 位 ;如果 第 一 
位 是 0， 于 挥 这 两 位 并 且 重 试 。 与 收缩 式 发 生 费 比较 ， 自 收缩 式 发 生 幽 
只 需要 前 者 一 半 的 存储 空间 ， 同 时 其 速度 也 只 有 前 者 的 一 半 。 


二 | 


虽然 目 收缩 式 发 生 需 看 上 去 也 是 安全 的 ， 但 它 具 有 一 些 无 法 解释 的 
行为 和 未 知 的 特性 。 这 是 一 个 非常 新 的 发 生 器 ， 要 经 受 时 间 的 考 
验 。 








16.5 A5 算 法 


A5 是 用 于 GSM 加 密 的 序列 密码 。 那 是 一 个 数字 蜂 色 移动 电话 的 非 
美国 标准 。 它 用 于 加 密 从 电话 到 基站 的 连接 。 连 接 的 其 他 部 分 是 不 加 密 
的 ， 电 话 公 司 很 容易 偷 听 你 的 电话 。 


大 量 的 政治 争议 一 直 围 绕 着 A5。 起 初 ， 认 为 GSM 加 密 将 阻碍 对 某 
些 国家 的 电话 出 口 。 现 在 一 些 官员 正在 讨论 A5 是 否 会 伤害 出 口 贸易 ， 
其 意思 是 它 是 如 此 的 弱 ， 以 至 于 会 带 来 困窘 。 据 说 20 世 纪 80 年 代 中 期 ， 
关于 GSM 加 密 应 该 强 还 是 弱 ， 在 NATO 情 报 机 构 内 部 有 过 激烈 的 争论 。 
德国 希望 强 一 些 ， 因 为 他 们 离 苏 联 较 近 ， 而 其 他 国家 不 赞成 这 样 ， 并 且 
A5 是 由 法 国人 设计 的 。 








我 们 知道 许多 详细 资料 。 一 家 英国 电话 公司 没有 签署 保密 协议 便 将 
他 们 所 有 的 文件 给 了 Bradford 大 学 。 文 件 被 四 处 传播 ， 并 且 终于 传 到 了 
因特网 上 。 描 述 A5 的 资料 见 [1622] ， 本 书 的 后 面 也 有 它 的 程序 代 
码 。 


A5 由 3 个 LFSR 组 成 ， 寄 存 器 的 长 度 分 别 是 19、22 和 23。 上 所 有 的 反馈 
多 项 式 系 数 都 较 少 。3 个 LFSR 的 异 或 值 作 为 输出 。A5 用 不 同 的 时 钟 控 
制 。 每 一 个 寄存 器 由 基于 它 自 己 中 间 位 的 时 钟 控制 ， 并 且 3 个 寄存 器 中 
间 位 的 反 疝 门限 函数 相 异 或 。 通 常 ， 在 每 一 轮 中 时 钟 驱动 两 个 LFSR。 








有 一 种 直接 攻击 需要 240 次 加 密 : 先 猜 测 前 两 个 LFSR 的 内 容 ， 然 后 
试 着 通过 密 钥 序列 决定 第 三 个 LFSR 〈 这 种 攻击 实际 上 是 否 可 行 尚 待 讨 
论 ， 但 是 目前 一 个 硬件 密 钥 搜索 机 正在 设计 中 ， 并 且 将 解决 这 个 问题 
[40] 和 





总 之 ， 有 一 点 可 以 明确 ， 那 就 是 A5 的 基本 思路 是 好 的 ， 它 的 效率 
非常 高 。 它 能 通过 所 有 已 知 的 统计 测试 ， 它 已 知 的 仅 有 弱点 是 寄存 右 太 
短 而 不 能 抗 穷 举 攻击 。 带 较 长 寄存 器 和 稠密 反馈 多 项 式 的 A5 的 变型 是 
安全 的 。 


16.6 Hughes XPD/KPD 算 法 


这 种 算法 是 休 斯 飞 机 公司 设计 的 ， 它 用 于 战术 电台 和 卖 给 国外 军队 
的 导航 设备 中 。 它 于 1986 年 为 可 出 口 的 保密 设备 设计 ， 被 称 为 XPD。 后 
来 它 更 名 为 运动 保护 设备 (Kinetic Protection Device, KPD) ， 并 且 已 


解密 [L1037、1036] 








算法 采用 61 位 LFSR。 共 有 21 个 不 同 的 本 原 反 馈 多 项 式 ， 这 一 点 已 
经 被 NSA 认 可 。 与 LFSR 的 初始 状态 一 样 ， 密 钥 选 择 这 些 多 项 式 中 的 一 
个 (它们 存储 在 ROM 中 ) 。 


它 有 8 个 不 同 的 非 线性 过 涯 器， 每 一 个 都 有 来 目 LFSR 的 6 个 抽 头 ， 
并 且 每 一 个 都 产生 1 位 。 这 些 位 组 成 1 字 节 ， 用 于 对 数据 序列 加 密 或 解 





ER 


这 个 算法 看 上 去 非常 好 ， 但 是 我 还 是 怀疑 它 。NSA 人 允许 它 出 口 ， 那 
么 在 规定 的 2 或 更 短 的 密 钥 范 围 内 ， 一 定 存在 某 些 攻击 。 


16.7 Nanoteq 算 法 





Nanoteq 是 南非 的 一 家 电子 公司 ， 这 个 算法 为 南非 警察 局 设计 ， 用 
于 他 们 的 传真 传输 中 ， 并 且 还 有 其 他 的 一 些 用 户 。 


这 个 算法 在 文献 [902、903] 中 或 多 或 少 地 有 所 描述 。 它 使 用 了 一 
个 具有 固定 组 合 反 馈 多 项 式 的 127 位 LFSR， 密 钥 是 反馈 寄存 器 的 初始 状 
态 。 寄 存 器 的 127 位 缩短 成 一 个 使 用 25 个 本 原 元 的 密 钥 序列 位 ， 每 一 个 
本 原 元 有 5 个 输入 和 1 个 输出 : 





f (X,> Xs Xs Ris w) Xt (x, TR (xy +x, +x, ) + 


(XH (xy FX +X5 


函数 的 每 一 个 输入 与 密 钥 的 一 些 位 异 或 。 在 算法 中 还 有 一 个 依赖 于 
特殊 实现 的 秘密 置换 ， 在 资料 中 没有 描述 。 这 个 算法 仅 对 硬件 实现 可 


/一 


介 。 





这 个 算法 安全 吗 ? 我 持 怀疑 态度 。 按 照常 理 ， 从 一 个 警察 局 到 另 一 
个 警察 局 的 传真 时 常会 出 现在 报纸 上 ， 这 是 美国 、 英 国 或 苏联 努力 的 结 
A. Ross Anderson 在 文献 [46」 中 用 了 一 些 原始 的 步骤 分 析 这 个 算法 。 
我 期 每 着 将 来 有 更 多 的 结果 。 











16.8 Rambutan 算 法 


Rambutan 是 一 个 英国 的 算法 ， 由 通信 和 电子 安全 组 织 〈《GCHQ 所 用 别 
名 中 的 一 个 ) 设计 。 它 仅 作 为 一 个 硬件 模块 出 售 ， 用 于 保护 “机 密 ” 的 资 
料 。 算 法 本 身 是 安全 的 ， 但 心 片 通常 在 商业 上 是 无 效 的 。 





Rambutan 有 一 个 112 位 密 钥 〈 加 上 校 验 位 ) 并 且 能 够 用 于 3 种 工作 方 
式 : ECB、CBC 和 8 位 CFB。 这 充分 说 明 它 是 一 个 分 组 密码 算法 ， 但 是 
据说 不 全 是 这 样 。 根 据 推测 ， 它 是 一 个 LFSR 序 列 密码 。 它 有 5 个 移 位 寄 
存 器 ， 每 一 个 的 长 度 都 在 80 位 左右 。 反 馈 多 项 式 非 常 稀 疏 ， 每 一 个 大 概 
只 有 10 个 抽 头 。 每 一 个 移 位 寄存 器 给 一 个 非常 大 的 复杂 的 非 线性 函数 提 
供 4 个 输入 ， 经 非 线 性 函数 运算 后 产生 1 个 输出 位 。 


为 什么 叫 它 为 Rarnbutan 呢 ?也 许 ， 它 就 像 那 种 叫 Rambutan 的 水 果 
一 样 ， 外 面 多 刺 且 不易 接近 ， 而 内 部 松软 有 旦 容易 变形 。 当 然 ， 也 许 根本 


16.9 PINAR as 


附加 式 发 生 嚣 (additive generator) 〈 有 时 叫做 延迟 Fibonacci 发 后 
a) 非常 高 效 ， 因 为 它 用 随机 字 取 代 了 随机 位 “863」 ， 它 本 身 并 不 安 
全 ， 但 是 可 以 作为 安全 发 生 器 的 一 个 构造 模块 。 





发 生 器 的 初始 状态 是 一 个 n 位 字 ，8 位 、16 位 或 32 位 ， 无 论 是 哪 一 
种 ， 令 其 为 X1 X ，Xs ，.…，Xn 。 初 始 状态 就 是 密 钥 。 发 生 器 的 第 i 


Xi = (Xia +Xib +Xic+...+Xim ) mod 2" 


1 


如 果 系 数 a，b，c，.…， 了 选择 正确 ， 那 么 发 生 堪 的 周期 至 少 是 2 
-1。 系 数 的 一 个 必要 条 件 是 用 最 少 的 位 组 成 最 大 长 度 的 LFSR。 





例如 ， (55, 24, 0) 在 表 16-2 中 是 一 个 本 原 多 项 式 模 2， 这 意味 着 
下 面 的 附加 式 发 生 器 有 最 大 长 度 。 





Xi = (Xi_55 十 入 ij .24 ) mod 2m 





因为 这 个 本 原 多 项 式 有 3 个 系数 ， 所 以 它 能 正 第 运行 。 如 果 系 数 超 
过 3 个 ， 则 雷 要 一 些 附加 的 必要 条 件 才能 使 它 达 到 最 大 长 度 。 详 细 的 摘 
述 见 文 献 [249」 。 


16.9.1 Fish 发 生 器 


Fish 是 一 种 基于 收缩 式 发 生 器 的 附加 式 发 生 器 [190」 。 它 产生 一 个 
32 位 字 的 密 钥 序列 ， 这 个 密 钥 序列 与 明文 序列 异 或 产生 密 文 序列 ， 或 者 
与 密 文 序列 异 或 产生 明文 序列 。 算 法 叫做 Fish， 因 为 它 是 一 个 Fibonacci 
WSC ei TA ACE A o 











首先 ， 使 用 这 两 个 附加 式 发 生 器 。 密 钥 是 这 些 发 生 器 的 初始 值 。 
A, = CAjss tAj-24 ) mod 23? 
B= (Ais Agg ) mod 272 


这 些 序列 都 是 收缩 式 的 ， 作 为 一 个 组 合 处 理 ， 依 赖 于 Bi 的 最 低 有 效 
位 : 如果 它 是 1， 则 利用 组 合 ， 如 末 它 是 0， 则 忽略 组 合 。C 是 从 Ai 中 
产生 的 序列 ， 而 Di 是 从 Bi 产生 的 序列 。 这 些 字 用 在 组 合 中 (Cy Cj 
`~ Dy} MDa.) 中 ) 产生 两 个 32 位 输出 字 : Ky; 和 Kyi41 。 


Es = Ca OCD, A Dam) 
Py, = Czn A (Ez A Czy) 
Ky = Ez (DD Fy 

Kan = ĉa ® Fz 


这 个 算法 运行 速度 很 快 。 在 33MHz 的 486 机 器 上 ，EFish 加 密 数 据 的 C 
语言 实现 速度 为 15Mb/s。 不 幸 的 是 ， 它 仍然 是 不 可 靠 的 ， 一 次 攻击 大 概 


需要 240 次 运算 (451 。 


16.9.2 ”Pike 发 生 器 


Pike 是 Fish 的 一 个 简化 版 本 ， 是 由 Ross Anderson， 即 那个 破译 了 
Fish 的 人 设计 的 【45」 。 它 使 用 了 3 个 附加 式 发 生 器 。 例 如 ， 

A, = (Aiss +Aj-24 ) mod 2°4 

B= (Bisz +B;7 ) mod 2° 

Ci = (Bi sg +Bi-19 ) mod 23? 


为 了 产生 密 钥 序列 字 ， 寻 找 附 加 的 进位 位 。 如 果 3 个 位 相同 《全 0 或 
者 全 1) ， 那 么 钟 控 所 有 的 发 生 器 ;如果 不 相 同 ， 那 么 钟 控 两 个 相同 的 
发 生 器 。 同 时 为 下 一 个 时 钟 保存 进位 。 最 后 的 输出 是 3 个 及 生 絮 的 异 或 
值 。 








Pike 比 Fish 快 ， 因 为 每 产生 一 个 输出 大 概 需要 2.75 步 运算 而 不 需要 3 
步 。 它 太 新 还 不 能 让 人 相信 ， 但 到 目前 为 止 看 上 去 还 是 好 的 。 


16.9.3 Mushk Æ% 


Mush 是 一 个 相互 收缩 的 发 生 器 ， 在 文献 C1590] 中 解释 得 很 清 
楚 。 它 使 用 了 两 个 附加 式 发 生 器 : A 和 B。 如 果 A 设 置 了 进位 位 ， 则 钟 控 
B; 如 果 B 设 置 了 进位 ， 则 钟 控 A。 钟 控 A 时 如 果 有 进位 ， 则 设置 进位 ; 
钟 控 B 时 如 果 有 进位 ， 则 设置 进位 。 最 后 的 输出 是 A 和 B 输 出 的 异 或 值 。 

最 容易 的 发 生 器 是 来 自 Fish: 

Ai= (A;_ss +A;»4 ) mod 2°2 


Bi = (B; 5 +B;_19 ) mod 232 


产生 一 个 输出 字 平 均 需 要 3 个 及 生 右 碗 代 一 次 。 如 果 附 加 式 发 生 右 
的 系数 选 得 合适 且 互 素 ， 那 么 输出 序列 将 有 最 大 长 度 。 我 不 知道 有 成 功 
的 攻击 ， 但 是 记 住 ， 这 个 算法 还 非常 新 的 。 


16.10 Gifford yz 


David Gifford 发 明了 一 种 序列 密码 ， 并 在 1984 年 到 1988 年 在 波士顿 
地 区 用 来 加 密 新 闻 有 线 报道 L608 607 609] 。 该 算法 有 一 个 8 字 节 寄存 
器 : bo ，bl ，...，bz 。 和 密 钥 就 是 寄存 器 的 初始 状态 。 该 算法 工作 在 
OFB 模 式 下 ， 且 明文 对 算法 没有 一 点 影响 〈 见 图 16-17) 。 











图 16-17 Gifford 4: # 


产生 一 个 密 钥 字 节 ki ， 连 接 bo 与 by 以 及 bs 与 by 。 将 两 者 相 乘 得 到 


一 个 32 位 数 。 左 起 第 三 字 节 就 是 k 。 








更 新 寄存 器 ， 取 bi 且 将 它 右 移 1 位 。 这 就 意味 着 最 左 位 既 移 位 又 原 
处 保留 了 。 取 by 且 左 移 1 位 ， 则 最 右 位 的 位 置 应 该 为 0。 将 改变 后 的 bi 
、by 和 bo 异 或 。 将 原 寄 存 器 问 右 移 1 字 节 并 将 该 字 节 放 入 最 左 位 置 。 








该 算法 自 诞生 以 来 一 直 都 很 安全 ， 直 到 1994 年 被 破译 [ 2874 。 这 表 





明 反 饿 多 项 式 不 是 本 原 的 ， 可 以 用 茶 些 方法 破译 。 


16.11 M 算 法 


这 个 名 字 来 自 Knuth [81 。 这 是 一 个 通过 组 合 多 个 伪 随 机 序列 来 
增加 安全 性 的 方法 。 一 个 发 生 器 的 输出 往往 是 从 其 他 发 生 器 的 输出 中 选 
择 一 个 延迟 输出 [3%6、1003] 。C 语 言 描 述 为 ; 

#define ARR SIZE (8192) /* for example — the larger the better 
ef 
static unsigned char delay[ ARR_SIZE ] 


unsigned char prngA( void ) ; 
long prngB( void ) ; 


void init _algM( void ) 
{ 


long: i. ; 


for (3 -= 0 p È < ARR STZE 7 i++ ) 
delay [i] = prngA() ; 


} /* init algM */ 


unsigned char algM( void ) 


long j,v ; 

j = prngB() % ARR SIZE ; /* get the delay[] index */ 
v = delay[j] ; /* get the value to return */ 
delay [j] = prngA() ; /* replace it */ 


return ( v ) 
} /* algM */ 


如 果 prngA 为 真 随机 的 ， 那 么 这 个 算法 足够 强 ， 没 有 人 能 得 到 关于 
prmgB 的 任何 东西 〈 因 此 不 能 进行 密码 分 析 ) 。 如 果 prngA 有 可 以 进行 密 
码 分 析 的 形式 ， 只 有 按 次 序 输出 《也 就 是 说 ， 只 有 prngB 先 被 密码 分 





析 ) ， 且 它 是 真 随机 的 时 ， 组 合 才 是 安全 的 。 


16.12 ”PKZIP 算 法 


Roger Schlafly 设 计 了 这 个 算法 ， 并 把 它 嵌 入 PKZIP 数 据 压 缩 程序 
中 。 它 是 一 个 一 次 加 密 一 字 节 的 序列 密码 算法 。 至 少 ，2.04g 版 本 的 算 
法 是 这 样 的 。 我 不 能 预测 以 后 的 版 本 ， 除 非 有 相关 通告 使 你 能 假设 它们 
是 相同 的 。 








该 算法 使 用 了 3 个 32 位 变量 ， 初 始 化 如 下 : 
Ko =305419896 
K, =591751049 
K, =878082192 
它 有 一 个 从 K, IRAE HH OR AFA BAK, 。 算 法 如 下 〈 所 有 符号 均 为 
标准 的 C 符 号 ) : 
C;= Pe fh K, 
Ko ercez Ka Pf; 
K,= K, + (K, & 0x000000ff) 
K; X 134775813 +1 


K, = crec32(K,,K; >> 24) 
K= (CK, | Rs | A 1D) >> 8 


4 
| 


函数 crc32 将 前 一 个 值 和 一 个 字 节 相 异 或 ， 然 后 用 由 0xedb88320 表 示 
的 CRC 多 项 式 计 算 下 一 个 值 。 实 际 上 ， 可 以 预先 计算 一 个 256 项 的 表 ， 
crc32 计 算 如 下 : 


crc32 (a, b) = (a>>8) /\table | (a&Oxff) @bj 


该 表 是 通过 crc32 前 面 的 定义 计算 出 来 的 : 


table [i] =crc32 (i, 0) 





为 了 加 密 明 文 序列 ， 首 先 利用 加 密 算 法 对 密 钥 字 节 进行 循环 更 新 。 
在 这 步 中 忽略 密 文 输出 。 然 后 加 密 明 文 ， 一 次 加 密 一 字 节 。 将 随机 产生 
的 12 字 节 作为 明文 ， 但 是 它 并 不 真正 重要 。 除 了 在 算法 的 第 二 步 中 用 Ci 
REP 外 ， 解 密 与 加 密 类 似 。 


PKZIP 的 安全 性 


不 幸 的 是 ，PKZIP 的 安全 性 并 不 好 。 一 次 攻击 需要 40 一 200 字 的 
已 知 明文 ， 并 且 时 间 复 杂 性 大 约 为 27 [166」 。 在 个 人 计算 机 上 只 需要 数 
小 时 惑 可 以 完成 它 。 如 果 压 缩 文件 有 任何 标准 的 标题 ， 那 么 得 到 已 知 明 
文 就 不 成 问题 。 建 议 不 要 在 PKZIP 中 使 用 这 种 内 置 的 加 密 方式 。 


第 17 革 ”其 他 序列 密码 和 真 随机 序列 发 生 占 


17.1 RC4 算 法 


RC4 是 Ron Rivest 在 1987 年 为 RSA 数 据 安 全 公司 开发 的 可 变 密 钥 长 
度 的 序列 密码 。 在 开始 的 七 年 中 它 有 专利 ， 算 法 的 细节 仅 在 签署 保密 协 
议 后 才能 得 到 。 





1994 年 9 月 ， 有 人 把 它 的 源 代码 匿名 张贴 到 Cypherpunks 邮 件 列表 
中 。 该 代码 迅速 传 到 Usenet 新 闻 组 sci.crypt 栏 目 中 ， 并 且 通 过 互联 网 传 遍 
了 全 世界 的 ftp 站 点 。 拥 有 RC4 合 法 副本 的 用 户 对 它 进 行 了 完全 的 验证 。 
RSA 数 据 安全 公司 试图 亡羊补牢 ， 宣 称 即 使 代码 公开 它 仍然 是 商业 秘 
密 ， 但 一 切 都 太 晚 了 。 后 来 它 在 Usenet 上 得 到 了 讨论 和 仔细 的 研究 ， 在 
各 种 会 议 上 散发 ， 在 密码 学 课程 上 讲解 。 





RC4 可 以 简单 地 描述 。 该 算法 以 OFB 方 式 工 作 : 密 钥 序列 与 明文 相 
互 独立 。 它 有 一 个 8x8 的 S 盒 : So» ，S; ，...，S2ss。 所 有 项 都 是 数字 0~ 
255 的 置换 ， 并 且 这 个 置换 是 一 个 可 变 长 度 密 钥 的 函数 。 它 有 两 个 计数 
器 : i 和 j， 初 值 为 0。 





要 产生 随机 字 节 ， 需 要 按 下 列 步 又 进行 : 


i= (i+1) mod 256 
j= G+S,) mod 256 
交换 Si FS; 

t= (Si +S; ) mod 256 


K=S, 











字 节 有 与 明文 异 或 产生 密 文 或 者 与 密 文 异 或 产生 明文 。 加 密 速 度 很 
快 一 ”大约 比 DES 快 10 倍 。 


初始 化 S 盒 也 很 容易 。 首 先 ， 进 行 线性 填充 : So =0, S451, ..., 
Sss =255。 然 后 用 密 钥 填充 另 一 个 256 字 节 的 数组 ， 不 断 重 复 密 钥 直 至 
填充 整个 数组 : Ku Ky> ，.…，K255 。 将 指针 j 设 为 0。 然 后 : 


对 于 i=0 至 255 
j= (j+S; +K; ) mod 256 
交换 Si FS; 


以 上 就 是 全 部 的 描述 。RSA 数 据 安全 公司 宣称 该 算法 对 差分 和 线性 
分 析 是 免疫 的 ， 似 乎 没有 任何 的 小 循环 ， 并 有 很 高 的 非 线 性 (没有 公开 
的 密码 分 析 结 果 。RC4 大 约 有 21700 (256! x2562 ) 种 可 能 的 状态 ， 一 





个 巨大 的 数字 ) o SREE H PRENE: i 你 证 每 个 元 素 的 改变 和 j 保 证 
元 素 随 机 地 改变 。 算 法 简单 到 足以 使 大 多 数 程序 员 能 很 快 地 对 它 进行 编 


程 。 





用 大 的 S 盒 和 字 长 来 实现 这 个 思想 是 可 能 的 。 早 期 版 本 是 8 位 RC4。 
没有 任何 理由 不 能 用 一 个 16x16 的 S 盒 (100K 存 储 空间 〉 和 一 个 16 位 字 
定义 16 位 RC4。 你 不 得 不 对 初始 设置 欠 代 许多 次 (65536 次 可 保证 与 设 
计 目 标 一 致 ) ， 但 最 终 算 法 应 该 更 快 。 


如 果 RC4 的 密 钥 长 度 在 40 位 或 者 以 下 (参见 13.8 市 ) ， 它 可 允许 出 
口 。 出 口 与 算法 保密 无 关 ， 虽 然 RSA 数 据 安全 公司 已 使 算法 保密 多 年 。 
这 个 名 字 已 经 商标 化 ， 因 此 任何 自己 编写 代码 的 人 都 不 得 以 这 个 名 字 命 
名 。RSA 数 据 安全 公司 的 很 多 内 部 文档 尚未 公布 于 众 “1320、 3371] 。 





因此 ， 怎 么 看 待 RC4 呢 ?” 它 已 不 再 是 一 个 商业 秘密 ， 任 何人 都 可 以 
使 用 它 。 然 而 ，RSA 数 据 安全 公司 几乎 会 控告 在 商业 产品 中 未 经 许可 使 
用 RC4 的 任何 人 。 他 们 不 一 定 能 赢 ， 但 他 们 相信 对 于 一 个 公司 来 说 ， 打 
官司 所 花费 的 钱 比 购买 许可 证 所 花 的 钱 更 多 。 











RC4 广 泛 应 用 于 商业 密码 产品 中 ， 包 括 Lotus Notes、 苹 果 计 算 机 的 
AOCE 和 Oracle 安 全 SQL 数 据 库 。 它 还 是 蜂窝 数字 数据 包 数 据 规范 的 一 


17.2 ”SEAL 算法 


SEAL 是 IBM 的 Phil Rogaway 和 Don Coppermfith 设 计 的 一 种 对 软件 有 
效 的 序列 密码 [340」 。 该 算法 针对 32 位 处 理 器 优化 : 它 需 要 8 个 32 位 寄 
存 器 和 较 多 字 节 的 缓存 才能 很 好 地 运行 。SEAL 预 先 采 用 相对 较 慢 的 速 
度 将 密 钥 放 入 一 组 表 中 ， 这 些 表 将 用 来 加 快 加 密 和 解密 的 速度 。 


17.2.1 伪 随 机 函数 族 


SEAL 的 一 个 特性 就 是 它 并 不 是 传统 意义 上 的 序列 密码 : 它 是 一 个 
伪 随 机 函数 族 (preudo random function family) 。 给 定 一 个 160 位 密 钥 k 
和 一 个 32 位 nD，SEAL 将 n 扩 展 到 一 个 L 位 串 k Cn) 中 。L 可 以 赋值 为 小 于 
64KB 的 任何 值 。SEAL 有 一 种 属性 ， 即 如 果 k 是 随机 选择 的 ， 那 么 在 计 
算 上 无 法 区 分 k a) 与 n 的 随机 工 位 函数 。 





作为 一 个 伪 随 机 函数 族 ，SEAL 的 实际 影响 就 是 它 能 应 用 在 传统 序 
列 密码 不 能 用 的 地 方 。 使 用 大 多 数 序 列 密码 只 能 单 同 产 生 位 序列 :已 知 
密 钥 和 一 个 位 置 |， 那 么 确定 产生 第 位 的 唯一 方法 就 是 产生 第 i 位 之 前 所 
有 的 位 。 但 伪 随 机 函数 族 不 同 : 你 可 以 轻易 访问 密 钥 序列 中 任何 你 所 想 
访问 的 地 方 。 这 一 点 非常 有 用 。 





假设 你 需要 保护 一 个 硬盘 驱动 器 。 你 想 加 密 每 个 512 字 节 的 耐 区 。 


使 用 类 似 于 SEAL 的 伪 随 机 函数 族 ， 可 以 通过 将 届 区 n 的 内 容 与 k Cn) 异 
或 来 对 它 进行 加 密 。 这 样 整个 驱动 器 看 起 来 就 像 用 一 个 长 的 伪 随 机 串 异 
或 ， 而 这 个 长 串 的 任意 部 分 都 能 被 轻易 计算 出 来 。 





伪 随 机 函数 族 也 简化 了 在 标准 序列 密码 中 遇 到 的 同步 问题 。 假 设 你 
通过 一 个 有 时 会 丢失 消息 的 通道 发 送 加 密 消息 。 使 用 伪 随 机 函数 族 ， 你 
可 以 基于 k 将 传输 的 第 hn 个 消息 x 加 密 为 n， 同 时 与 和 是 k Cn) 的 异 或 
相 加 。 接 收 者 不 必 保 存 任何 状态 来 恢复 zx ， 也 不 必 担 心 丢 失 的 消息 会 对 











17.2.2 ”SEAL 的 描述 


SEAEL 的 内 部 循环 见 图 17-1。3 个 源 密 钥 表 R、S 和 T 用 来 驱动 算法 。 
预 处 理 阶段 使 用 基于 SHA 的 方法 将 密 钥 k 映 射 到 (参见 18.7 节 )〉 这 3 张 表 
中 。2KB 的 表 T 是 一 个 9x32 位 S 盒 。 
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图 17-1 SEAL 的 内 部 循环 





SEAL 使 用 了 4 个 32 位 寄存 器 : A、B、C、D， 其 初 值 由 n 和 表 R 和 T 
决定 。 这 些 寄存 器 通过 数 次 迭代 来 改变 ， 每 个 迭代 包括 8 轮 。 在 每 轮 
中 ， 第 一 个 寄存 器 (A，B，C， 或 D〉 的 9 位 作为 查 表 T 的 地 址 。 将 从 T 
中 得 到 的 值 与 第 二 个 寄存 器 (A、B、C 或 D) 的 内 容 相 加 或 者 异 或 。 然 
后 第 一 个 寄存 器 环 移 9 位 。 在 某 些 轮 中 ， 由 于 第 二 个 寄存 器 与 第 一 个 寄 
fees (OAH) 相 加 或 异 或 而 发 生 更 大 的 改变 。 这 样 ，8 轮 后 ， 将 
A、B、C、D 加 到 密 钥 序列 中 ， 每 一 个 撼 码 都 首先 与 S 中 一 个 确定 的 字 
相 加 或 异 或 。 通 过 将 由 n、ni ny. n 和 ny 所 决定 的 附加 值 加 到 A 和 C 
上 来 完成 迭代 ， 该 附加 值 具体 是 哪 一 个 取决 于 迭代 次 数 的 奇偶 性 。 





在 设计 中 最 重要 的 思想 似乎 是 : 


(1) 使 用 一 个 大 的 、 秘 密 的 、 密 钥 派 生 的 S 盒 CT) 。 


(2) 交 蔡 使 用 不 交换 的 算法 运算 《〈 加 和 有 并 或 ) 。 








(3) 使 用 一 个 在 数据 序列 中 未 直接 修改 的 密码 所 文 持 的 内 部 状态 
Cn, 的 值 在 每 次 迭代 结束 时 改变 A 和 C 的 值 ) 。 


(4) ARTE FC BACHE PAB, ARETE NBR IEC PA Bo 














SEAL 需 要 大 约 5 个 基本 机 器 运算 来 加 密 明 文 的 每 个 字 节 。 在 50MHz 
的 486 机 器 上 它 每 秒 运算 58Mb。 这 可 能 是 本 书 中 最 快 的 软件 算法 。 





另 一 方面 ，SEAL 必 须 将 它 的 密 钥 预 处 理 到 内 部 表 中 。 这 些 表 大 概 
有 3KB， 并 且 它 们 的 计算 大 约 需 要 200 个 SHA 计算 。 因 此 ，SEAL 不 能 用 
在 没有 预 处 理 密 钥 时 间或 没有 内 存 来 保存 表 的 情况 下 。 


17.2.3 SEAL 的 安全 性 


SEAL 是 一 个 新 的 算法 ， 还 没有 任何 公开 的 密码 分 析 。 在 使 用 时 需 
要 小 心 。 尽 管 如 此 ，SEAL 仍 是 一 个 好 的 算法 。 最 终 它 的 特性 的 确 能 产 
生 许 多 好 的 想法 ， 并 且 Don Coppersmith 被 认为 是 世界 上 最 聪明 的 密码 分 
WTR o 


17.2.4 专利 和 许可 证 


SEAL 有 专利 权 L380] 。 任 何 希望 得 到 SEAL 许 可 证 的 人 都 必须 与 专 
利 权 的 拥有 者 联系 : IBM Corporation, 500Columbus Ave., 
Thumwood, NY, 10594. 


17.3 WAKESYE 


WAKE 是 David Wheeler 发 明 的 字 自 动 密 钥 加 密 算法 [1589」 。 它 产 
生 一 个 32 位 字 串 与 明文 序列 异 或 形成 的 密 文 ， 或 者 同 密 文 序列 异 或 形成 
的 明文 ， 并 且 它 的 速度 很 快 。 








WAKE 工 作 在 CFB 模 式 下 ， 前 一 个 密 文 字 用 来 产生 下 一 个 密 钥 字 。 
它 也 使 用 了 一 个 包含 256 个 32 位 值 的 S 盒 。 这 个 S 盒 具有 如 下 特性 : 所 有 
项 的 高 字 节 是 所 有 可 能 字 节 的 置换 ， 且 低 3 字 节 是 随机 的 。 











首先 ， 从 密 钥 中 产生 S 盒 的 一 项 Si 。 然 后 用 密 钥 〈 或 者 另 一 个 密 
钥 ) 初始 化 4 个 寄存 器 :ao 、bo Co 和 do 。 产 生 一 个 32 位 密 钥 序列 字 K; 


Ki =d; 








密 文 字 Ci 是 明文 字 Pi 与 Ki 异 或 的 结果 。 
W EAA ATTA: 
aii, ™M (ai di) 


buy =M (b; » dj+1 ) 


Ci+1 =M Cor ’ Dit ) 
di =M Cd, x Ci+1 ) 


KAMA 


Mes 4) = (x = it) 之 8 ® Scrty) 4255 


这 个 过 程 表示 在 图 17-2 中 。 操 作 符 >> 表 示 石 移 ， 不 循环 。x+y 的 低 8 
位 是 S 盒 的 输入 。Wheeler 给 出 了 产生 S 盒 的 过 程 ， 但 实际 上 并 不 是 这 样 
的 。 任 何 一 个 产生 随机 字 节 和 随机 置换 的 算法 都 可 用 来 产生 S 盒 。 





图 17-2 WAKE 算 法 


WAKE 的 最 大 优点 是 它 的 速度 快 。 然 而 ， 对 某 些 选择 明文 和 选择 密 
文 攻击 来 说 ， 它 不 安全 。 它 用 在 Solomon 博 士 的 抗 病毒 软件 的 当前 版 本 
中 。 





17.4 ” 带 进 位 的 反馈 移 位 寄存 器 


带 进位 的 反馈 移 位 寄存 器 也 称 为 FCSR， 与 LFSR 类 似 。 它 们 都 有 一 
个 移 位 寄存 器 和 一 个 反馈 函数 。 不 同 之 处 在 于 ，FCSR 有 一 个 进位 寄存 
器 〈 见 图 17-3) 。 它 不 是 把 抽 头 序列 中 所 有 的 位 异 或 ， 而 是 把 所 有 的 位 
相 加 ， 并 与 进位 寄存 器 的 值 相 加 。 将 结果 除 以 2 就 得 到 进位 寄存 器 新 
值 。 





移 位 寄存 器 
































图 17-3” 带 进位 的 反馈 移 位 寄存 圳 


图 17-4 是 一 个 在 第 一 位 和 第 二 位 抽 头 的 3 位 FCSR 的 例子 。 筷 的 初始 
值 是 001， 进 位 寄存 器 初始 值 是 0。 输 出 位 是 移 位 寄存 器 最 右 端的 一 位 。 








和 除 2 


图 17-4 ”3 位 FCSR 


BS Ai ay FF DE Ae By FF 
001 
100 
010 
101 
110 
111 
011 
101 
010 
001 
000 
100 


O SS oS S| ps CC Co O G O OG 


注意 ， 最 后 的 内 部 状态 (包括 进位 寄存 器 的 值 ) 与 第 二 个 内 部 状态 
古 一 样 的 。 此 时 序列 将 循环 ， 且 它 的 周期 为 10。 








这 里 有 儿 扣 要 注意 。 第 一 ， 进 位 寄存 占 不 是 一 位 ， 它 是 个 数 。 进 位 
寄存 器 最 小 必须 为 log, t， 其 中 t 是 抽 头 的 数目 。 在 前 面 的 例子 中 只 有 两 
个 抽 头 ， 因 此 进位 寄存 器 只 有 一 位 。 如 果 有 4 个 抽 头 ， 进 位 寄存 器 就 有 





两 位 ， 其 值 可 以 是 0、1、2 或 3。 





第 二 ， 在 FCSR 稳 定 到 它 的 重复 周期 之 前 ， 有 一 个 初始 瞬 态 值 。 在 
前 面 的 例子 中 ， 只 有 一 个 状态 永远 不 会 重复 。 对 于 更 大 更 复杂 的 
FCSR， 就 可 能 有 更 多 的 状态 。 








第 三 ，FCSR 的 最 大 周期 不 是 2? -1， 其 中 n 是 移 位 寄存 器 的 长 度 。 最 
大 周期 是 q9-1， 其 中 q 是 连接 整数 (connection integer) 。 这 个 数 给 出 了 
抽 头 数 ， 且 定义 为 : 


q 一 Lie + an T Ba > i Linn — 


(是 的 ，q1 *s 是 从 左 同 右 计数 的 。)〉 更 坏 情况 下 ，q 是 个 以 2 为 本 原 
根 的 素数 。 以 下 假定 qd 是 这 种 形式 。 


在 这 个 例子 中 ，g=2x0+4x1+8x1-1 二 11。 并 且 11 是 一 个 以 2 为 本 原 
根 的 素数 。 因 此 ， 最 大 周期 是 10。 


并 不 是 所 有 的 初 值 都 给 出 最 大 周期 。 例 如 ， 当 初始 值 为 101 并 且 进 
位 寄存 器 置 为 4 时 ， 让 我 们 看 看 FCSR。 


移 位 寄存 天 进位 寄存 天 
101 4 
110 2 
111 1 
111 1 


此 时 ， 和 寄存 器 不 停 地 产生 一 个 为 帝 数 1 的 序列 。 





任何 初始 值 将 产生 以 下 4 件 事 中 的 一 个 : 第 一 ， 它 是 最 长 周期 的 一 
部 分 ; 第 二 ， 它 在 初始 值 后 达到 最 大 周期 ， 第 三 ， 它 在 初始 值 后 变 为 一 
个 全 0 序列 ;第 四 ， 它 在 初始 值 后 变 为 全 1 序列 。 





有 一 个 数学 公式 用 于 确定 给 出 初始 值 后 哪 种 情况 将 发 生 ， 但 测试 它 
太 人 简 蛙 了 。 运 行 FCSR 一 会 儿 (如果 m 是 初始 存储 空间 ，t 是 抽 涉 数 ， 则 
需 运 行 log。 (t) +log, (m) +1 步 ) ， 如 果 它 在 n 位 内 退化 成 一 个 全 0 或 
全 1 序列 ， 其 中 ，n 为 FCSR 的 长 度 ， 那 么 不 要 用 它 ;， 如 果 没 有 ， 则 可 以 
用 它 。 因 为 FCSR 的 初始 值 对 应 着 序列 密码 的 密 钥 ， 这 就 意味 着 基于 
FCSR 的 发 生 器 将 有 弱 密 钥 。 








表 17-1 列 出 了 所 有 以 2 为 本 原 根 的 小 于 10000 的 连接 整数 ， 它 们 都 有 
最 大 周期 9-1。 为 了 把 这 些 数 之 一 变 成 抽 头 序列 ， 必 须 计 算 q+1 的 二 进 制 
展开 。 例 如 ，9949 可 以 转化 为 抽 头 序列 1，2，3，4，6，7，9，10 和 


13， 因 为 


9950=2™ 要 时 


表 17-1 最 长 周期 FCSR 的 连接 整数 


2 131 349 557 797 
9 139 373 563 821 
11 149 379 587 827 
13 163 389 613 829 
19 173 419 619 853 
29 179 421 653 859 
37 181 443 659 877 
53 197 t61 661 883 
59 21] 167 677 907 
61 227 491 701 941 
67 269 509 709 947 
83 293 523 757 1019 
101 317 541 TE] 1061 


107 347 547 787 1091 





$ 





5659 
5683 
5693 
5701 
5717 
5741 
5749 
5779 
5813 
5827 
5843 
5851 
5869 
5923 
5939 
5987 
6011 
6029 
6053 
6067 
6101 
6131 
6173 
6197 
6203 
6211 
6229 
6269 
6277 
6299 
6317 
6323 
6373 
6379 
6389 
6397 
6469 
6491 


9173 
9181 
9203 
9221 
9227 
9283 
9293 
9323 
9341 
9349 
9371 
9397 
9419 
9421 
9437 
9467 
9491 
9533 
9539 
9547 
9587 
9613 
9619 
9629 
9643 
9661 
9677 
9733 
9749 
9803 
9851 
9859 
9883 
9901 
9907 
9923 
9941 
9949 


(8%) 








表 17-2 列 出 了 对 于 32、64 和 128 位 移 位 寄存 器 ， 产 生 最 大 长 度 FCSR 
的 所 有 4 抽 头 序列 。 四 个 值 a、b、c 和 d 的 结合 产生 了 一 个 以 2 为 本 原 根 的 
素数 q。 


q=23 +25 +2° +24 -1 


表 17-2 ”最 大 长 度 FCSR 的 抽 头 序列 


(32，6，3，2) 

(32, 7, 5, 2) 

(32, 8, 3, 2) 

(32, 13, 8, 2) 
(32, 13, 12, 2) 
(32, 15. 6, 2) 
(32, 16, 2, 1) 
(32, 16, 3, 2) 
(32, 16, 5, 2) 
(32, 17, 5, 2) 
(32, 19, 2, 1) 
(32,19, 5, 2) 
(32, 19, 9, 2) 
(32. 19, 12, 2) 
(32, 19, 17, 2) 
(32, 20, 17, 2) 
(32, 21, 9, 2) 
(32, 21, 15, 2) 
(32, 23, 8, 2) 
(32, 23, 21, 2) 
(32, 25, 5, 2) 
(32. 25, 12, 2) 
(32. 27. 25, 2) 
(32, 29, 19, 2) 
(32, 29, 20, 2) 
(32, 30, 3, 2) 
(32, 30, 7, 2) 
(32, 31. 5, 2) 
(32, 31, 9, 2) 
(32, 31, 30, 2) 


(64, 3, 2, 1) 
(64, 14, 3, 2) 
(64, 15, 8. 2) 
(64, 17, 2, 1) 
(64, 17, 9, 2) 
(64, 17, 16, 2) 
(64, 19, 2, 1) 
(64, 19, 18, 2) 


(64, 24, 19, 2) 
(64, 25, 3, 2) 
(64, 25, 4, 2) 
(64, 25, 11, 2) 
(64, 25, 19, 2) 
(64, 27, 5, 2) 
(64, 27, 16, 2) 
(64, 27, 22, 2) 
(64, 28, 19, 2) 
(64, 28, 25, 2) 
(64, 29. 16, 2) 
(64, 29, 28, 2) 
(64, 31, 12, 2) 
(64, 32, 21, 2) 
(64, 35, 29, 2) 
(64, 36, 7, 2) 
(64, 37. 2. 1) 
(64, 37, 11, 2) 
(64, 39, 4. 2) 
(64, 39, 25, 2) 
(64. 41, 5, 2) 
(64, 41, 11, 2) 
(64. 41. 27, 2) 
(64. 43, 21, 2) 
(64. 43, 28, 2) 
(64, 45. 28, 2) 
(64, 45. 41, 2) 
(64, 47, 5. 2) 
(64, 47, 21, 2) 
(64, 47, 30, 2) 
(64, 49, 19, 2) 
(64, 49. 20, 2) 
(64, 52, 29, 2) 
(64, 53, 8. 2) 
(64, 53, 43, 2) 
(64, 56. 39, 2) 
(64, 56, 45, 2) 
(64, 59, 5, 2) 
(64, 59, 8, 2) 


(64, 
(64, 
(64. 
(64, 
(64, 
(64. 
(64, 
(64, 


(96. 
(96, 
(96, 
(96, 
(96, 
(96, 

(96, 
(96, 
(96, 

(96, 
(96, 
(96, 
(96, 
(96. 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96. 
(96, 
(96, 
(96. 


2) 


(96, 
(96, 
(96, 
(96, 
(96, 
(96. 
(96, 
(96, 
(96, 
(96. 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96. 
(96, 
(96, 
(96, 
(96, 
(96, 
(96. 
(96, 
(96. 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96, 
(96. 
(96. 
(96, 
(96, 
(96, 
(96. 
(96, 


55, 
56, 
56, 
57. 
57, 
57. 
58, 
59, 
60. 
60, 
60. 
6l, 
63, 
65, 


65, 


65, 5 


67. 
67, 
67. 

68, 


53, 2) 
9, 2) 
51, 2) 
3, 2) 
17, 2) 
47, 2) 
35, 2) 
46, 2) 
29, 2) 
41, 2) 
45, 2) 
17, 2) 
20, 2) 


(96. 83, 60, 2) (128, 31, 25, 2) (128, 81, 55, 2) (128, 105, 11, 2) 
(96. 83, 65, 2) (128, 33. 21, 2) (128, 82. 67, 2) (128, 105, 31, 2) 
(96, 83, 78, 2) (128. 35, 22, 2) (128, 83, 60, 2) (128, 105, 48, 2) 
(96, 84, 65, 2) (128, 37, 8, 2) (128, 83, 61, 2) (128, 107, 40, 2) 
(96, 85, 17, 2) (128, 41, 12, 2) (128, 83, 77, 2) (128, 107, 62, 2) 
(96. 85, 31. 2) (128, 42, 35, 2) (128, 84, 15, 2) (128. 107, 102, 2) 
(96, 85, 76. 2) (128. 43, 25, 2) (128. 84, 43, 2) (128, 108, 35, 2) 
(96. 85, 79, 2) (128, 43, 42, 2) (128, 85. 63, 2) (128. 108. 73, 2) 
(96, 86, 39, 2) (128, 45, 17. 2) (128, 87, 57, 2) (128, 108. 75, 2) 
(96, 86, 71, 2) (128, 45, 27, 2) (128, 87, 81. 2) (128, 108, 89, 2) 
(96, 87, 9, 2) (128, 49. 9. 2) (128, 89. 81. 2) (128, 109, 11. 2) 

(96. 87, 44, 2) (128, 51, 9, 2) (128, 90, 43, 2) (128, 109, 108, 2) 
(96. 87, 45. 2) (128, 54, 51, 2) (128, 91, 9, 2) (128, 110, 23, 2) 
(96, 88, 19, 2) (128, 55, 45. 2) (128, 91, 13, 2) (128, 111, 61, 2) 
(96. 88, 35, 2) (128, 56. 15. 2) (128. 91. 44. 2) (128, 113, 59. 2) 
(96, 88, 43, 2) (128, 56. 19, 2) (128, 92, 35, 2) (128, 114, 83, 2) 
(96, 88, 79. 2) (128, 56, 55. 2) (128, 95. 94, 2) (128, 115. 73. 2) 
(96, 89, 35, 2) (128, 57, 21, 2) (128, 96, 23, 2) (128, 117, 105, 2) 
(96, 89, 51, 2) (128. 57, 37, 2) (128. 96. 61, 2) (128, 119. 30, 2) 
(96. 89, 69, 2) (128, 59, 29, 2) (128, 97, 25, 2) (128, 119, 101, 2) 
(96, 89, 87, 2) (128, 59, 49. 2) (128. 97. 68, 2) (128, 120, 9, 2) 
(96. 92, 51, 2) (128, 60, 57. 2) (128, 97, 72. 2) (128, 120, 27, 2) 
(96, 92, 71, 2) (128, 61. 9, 2) (128. 97, 75, 2) (128, 120, 37, 2) 
(96, 93, 32, 2) (128, 61, 23, 2) (128, 99, 13, 2) (128, 120, 41, 2) 
(96, 93. 39. 2) (128, 61, 52, 2) (128, 99, 14, 2) (128, 120. 79. 2) 
(96, 94, 35, 2) (128. 63, 40. 2) (128, 99, 26, 2) (128, 120, 81. 2) 
(96, 95. 4, 2) (128, 63, 62, 2) (128, 99, 54, 2) (128, 121, 5, 2) 

(96, 95, 16, 2) (128, 67. 41, 2) (128, 99, 56, 2) (128, 121, 67, 2) 
(96, 95, 32, 2) (128. 69, 33, 2) (128, 99. 78, 2) (128, 121. 95. 2) 
(96. 95, 44, 2) (128, 71, 53, 2) (128, 100, 13, 2) (128, 121, 96, 2) 
(96, 95, 45, 2) (128. 72, 15, 2) (128, 100, 39, 2) (128, 123, 40, 2) 
(128, 72, 41, 2) (128, 101. 44. 2) (128, 123. 78, 2) 

(128, 5, 4, 2) (128, 73, 5, 2) (128, 101, 97, 2) (128, 124, 41, 2) 

(128, 15. 4, 2) (128. 73, 65, 2) (128, 103, 46, 2) (128, 124, 69, 2) 
(128, 21, 19, 2) (128. 73, 67. 2) (128, 104, 13, 2) (128, 124, 81. 2) 
(128, 25, 5, 2) (128. 75, 13. 2) (128, 104, 19, 2) (128, 125, 33, 2) 
(128, 26, 11, 2) (128, 80, 39, 2) (128, 104, 35, 2) (128, 125, 43. 2) 
(128, 27, 25, 2) (128, 80, 53, 2) (128, 105, 7, 2) (128, 127, 121, 2) 


这 些 抽 头 序列 中 任何 


一 个 都 能 用 来 创建 一 个 周期 为 9-1 的 FCSR。 


把 FCSR 用 在 密码 学 中 的 观点 非常 新 ，Andy Klapper 和 Mark Goresky 
是 这 方面 的 先驱 (844. 845. 654, 843, 846] 。 与 LFSR 的 分 析 基 于 本 原 多 项 
式 模 2 一 样 ，FCSR 的 分 析 基 于 称 为 2-adic 的 数 。 该 理论 已 经 超出 了 本 书 
的 范畴 ， 但 任何 事物 都 是 类 似 的 。 就 好 像 你 如 果 可 以 定义 线性 复杂 性 一 
样 ， 也 可 以 定义 2-adic 复 杂 性 。 甚 至 有 类 似 于 Berlekamp-Massey 算 法 的 2- 
adic 算 法 。 这 就 意味 着 潜在 的 序列 密码 列 至 少 必须 加 倍 。 用 LFSR 能 做 的 
任何 事 在 FCSR 中 同样 也 能 做 。 





对 这 种 思想 已 有 进一步 的 增强 ， 其 中 包括 多 级 进位 寄存 器 。 这 些 序 
列 发 生 器 的 分 析 基 于 2-adic 数 的 分 支 扩展 [845、846] 。 


17.5 ”使 用 FCSR 的 序列 密码 


在 文献 中 没有 任何 有 关 FCSR 序 列 密码 的 记载 ， 该 理论 很 新 。 为 了 
抓 住 关键 ， 我 这 里 有 些 建议 。 我 提出 两 个 不 同 的 方法 : 一 是 ， 建 议 用 和 
LFSR 发 生 器 一 样 的 FCSR 序 列 密码 ， 二 是 ， 建 议 同时 使 用 FCSR 和 LFSR 
序列 密码 。 前 者 的 安全 或 许可 以 用 2-adic 数 来 分 析 ， 后 者 不 能 用 代数 方 
法 来 分 析 一 一 它们 大 概 只 能 间接 地 分 析 。 无 论 采 用 哪 种 方式 ， 选 择 周期 
互 素 的 LFSR 和 FCSR 是 很 重要 的 。 


所 有 这 些 以 后 都 将 出 现 。 目 前 我 还 不 知道 有 这 些 思 想 的 实现 或 分 
析 。 在 你 相信 这 些 之 前 ， 还 是 移 等 上 几 年 并 仔细 浏览 有 关 这 方面 的 文 


17.5.1 级 联 发 生 器 


在 级 联 发 生 器 中 ， 有 两 种 方法 使 用 FCSR: 
.FCSR 级 联 。 用 FCSR 代 蔡 LFSR 的 Gollmann 级 联 。 


.LEFSR/FCSR 级 联 。 交 蔡 使 用 LFSR 和 FCSR 的 Gollmann 级 联 。 


17.5.2 ”ECSR 组 合 发 生 器 


该 发 生 器 使 用 可 变数 目的 LESR 和 域 FCSR 以 及 它们 的 组 合 函 数 。 
或 运算 可 以 消除 FCSR 的 代数 特性 ， 因 此 可 用 它 来 组 合 它们 。 图 17-5 给 
出 了 一 个 使 用 可 变数 目 FCSR 的 发 生 器 。 它 的 输出 是 FCSR 输 出 的 异 或 。 








图 17-5 ”组合 发 生 器 


其 他 类 似 的 发 生 器 有 : 


.FECSR 奇 个 发生 器 。 所 有 寄存 器 都 是 EFCSR， 并 且 组 合 函 数 是 异 


.LESR/FCSR 奇 偶发 生 器 。 寄 存 器 是 LFESR 和 FEFCSR 的 混合 ， 并 且 组 


F R RUE E o 


FECSR 门 限 发 和 后 器 。 所 有 寄存 器 都 是 FCSR， 并 且 组 合 函数 是 多 数 
逻辑 函数 。 


-LEFSR/FCSR 门 限 发 生 器 。 寄 存 器 是 LEFESR 和 FCSR 的 混合 ， 并 且 组 
函数 是 多 数 逻 辑 函 数 。 


:FCSR 加 法 发 生 器 


。 所 有 寄存 器 都 是 FCSR 
位 的 加 法 。 


， 并 且 组 合 函 数 是 珊 进 


LFSR/FCSR 加 法 发 生 器 。 寄 存 器 是 LFSR 和 FCSR 的 混合 ， 并 用 组 
Fr PRI BOE He EAL AE o 


17.5.3 LEFSR/FCSR 加 法 /奇偶 级 联 


该 发 生 器 的 理论 基础 是 带 进 位 的 加 法 可 去 掉 LFSR 的 代数 特性 ， 且 
异 或 可 去 掉 FCSR 的 代数 特性 。 发 生 器 用 Gollmann 级 联 组 合 了 采用 上 
H 相 


思想 的 LFSR/FCSR 加 法 发 生 器 和 LFSR/FCSR 奇 偶发 生 器 


#8， 这 两 种 发 生 
器 在 上 面 都 提 及 了 。 
该 发 生 器 是 一 组 寄存 器 ， 每 一 组 的 时 钟 都 被 前 一 组 的 输出 控制 。 图 
17-6 XP RE 


一 组 LESR 被 钟 控 ， 其 结果 进入 带 进位 的 
加 法 器 中 。 如 果 这 个 组 合 函数 的 输出 是 1， 那 么 下 一 
控 ， 


组 (FCSR) 就 被 钟 
且 这 些 FCSR 的 输出 进入 异 或 组 合 函 数 ， 如 果 第 一 个 组 合 函 数 的 输 


出 是 0， 那 么 下 一 组 FCSR 就 不 会 被 钟 控 ， 且 输出 被 简单 地 加 到 前 一 轮 的 
进位 上 。 如 果 第 二 个 组 合 函 数 的 输出 是 1， 那 么 第 三 组 LFSR 就 被 钟 控 ， 
以 此 类 推 。 















带 进位 的 
加 法 器 



































图 17-6 ”混合 发 生 器 


该 发 生 器 使 用 了 很 多 寄存 器 : nxm， 其 中 n 是 级 数 ，m 是 每 级 的 寄存 
器 数目 。 我 推荐 n=10，m=5。 





17.5.4 ”交错 停 走 式 发 生 器 


该 发 生 器 是 用 FCSR 代 蔡 LFSR 的 停 走 式 发 生 器 。 另 外 ， 用 异 或 运算 
蔡 换 带 进位 的 加 法 ( 见 图 17-7) 。 












寄存 器 3 














图 17-7 交错 停 走 式 发 生 器 


:FCSR 停 走 式 发 生 器 。 寄 存 器 1、 寄 存 器 2 和 寄存 3 均 为 FCSR， 并 且 


组 合 函 数 是 异 或 。 


:FCSR/LFSR 停 走 式 发 生 器 。 寄 存 器 1 是 FCSR， 寄 存 器 2 和 寄存 器 3 
是 LFSR， 并 且 组 合 函 数 是 带 进 位 的 加 法 。 


LFSR/FCSR 停 走 式 发 生 器 。 寄 存 器 1 是 LFSR， 寄 存 器 2 和 寄存 器 3 
是 FCSR， 并 且 组 合 函 数 是 异 或 。 


17.5.5 “收缩 式 发 生 器 


有 4 个 使 用 FCSR 的 基本 发 生 器 类 型 : 
.FECSR 收 缩 式 发 生 器 。 用 FCSR 人 代替 LEFSR 的 收缩 式 发 生 器 。 
.FCSR/LFSR 收 缩 式 发 生 器 。 用 LEFSR 收 缩 FCSR 的 收缩 式 发 生 器 。 


.LEFSR/FCSR 收 缩 式 发 生 器 。 用 FCSR 收 缩 LFSR 的 收缩 式 发 生 器 。 


:FCSR 自 收缩 式 发 生 器 。 用 FCSR 代 蔡 LFSR 的 自 收缩 式 发 生 器 。 


17.6” 非 线性 反馈 移 位 寄存 髓 


很 容易 想象 一 个 比 LFSR 或 FCSR 中 更 复杂 的 反馈 序列 。 问 题 是 没有 





任何 数学 理论 可 分 析 它 们 。 你 可 以 获得 一 些 东 西 ， 但 那 是 什么 ?尤其 
是 ， 存 在 一 些 非 线性 反馈 移 位 寄存 器 序列 的 问题 。 





-在 输出 序列 中 可 能 有 些 偏 差 ， 如 1 比 0 多 ， 或 者 游程 数 比 预 期 的 


\> 


-序列 的 最 长 周期 可 能 比 预期 的 短 。 
.序列 的 周期 可 能 因 初 始 值 的 不 同 而 不 同 。 


序列 可 能 出 现 随机 性 仅 一 段 时 间 ， 然 后 “ 死 锁 ? 成 一 个 单一 的 值 
《这 个 很 容易 用 最 右 位 与 非 线性 函数 异 或 的 方法 来 解决 ) 。 








另外 ， 如 有 果 没 有 理论 来 对 非 线性 反馈 移 位 寄存 器 的 安全 性 进行 分 
析 ， 那 么 分 析 基 于 它们 的 序列 密码 的 工具 将 会 很 少 。 我 们 可 以 在 序列 密 
码 设 计 中 使 用 非 线 性 反馈 移 位 寄存 器 ， 但 必须 小 心 。 

在 非 线 性 反馈 移 位 寄存 嚣 中， 反馈 函数 可 以 是 你 想 要 的 任何 形式 


( 见 图 17-8) 。 








L =n 


417-8 非 线性 反馈 移 位 寄存 器 〈 可 能 不 安全 ) 





图 17-9 是 一 个 采用 以 下 反馈 函数 的 3 位 移 位 寄存 器 ， 新 位 是 第 一 位 
乘 以 第 二 位 。 如 果 用 值 110 初 始 化 ， 它 可 以 产生 以 下 的 内 部 状态 序列 ， 
110 
Odl 
101 
010 
001 
000 
000 


如 此 不 停 。 





图 17-9 3 位 非 线形 反馈 移 位 寄存 器 


输出 序列 是 最 低位 的 串 : 
091101000009 0 
这 个 绝对 不 能 使 用 。 


甚至 有 更 坏 的 情况 。 如 果 初 始 值 是 100， 它 就 会 产生 010、001， 然 
后 在 000 处 无 限 循环 下 去 。 如 果 初 始 值 是 111， 它 就 会 无 限 自 循环 。 


已 经 做 了 部 分 工作 来 计算 两 个 LFSR 乘 积 的 线性 复杂 性 [1650、726、 


1364、630、658、659] 。 建 立 于 奇特 征 域 [310] 上 涉及 LFSR 计 算 的 构造 是 
不 安全 的 [842] 。 


17.7 其 他 序列 密码 
文献 中 还 有 很 多 其 他 的 序列 密码 ， 以 下 列 出 其 中 的 一 些 。 


17.7.1 Ples Æ% 





该 发 生 器 是 基于 J-K 触 发 器 的 特性 来 设计 的 【1250」 。8 个 LFSR 驱 动 
4 个 J-K 触 发 副 ， 每 一 个 触及 器 为 其 中 两 个 LFSR 做 非 线 性 组 合 。 为 了 避 
免 从 触发 锅 的 输出 可 推出 下 一 个 输出 位 的 值 和 触发 右 的 输入 ， 需 钟 控 4 
个 触发 器 ， 然 后 将 交 葵 输出 作为 最 终 密 钥 序 列 。 


通过 分 别 攻击 4 个 触发 器 中 的 每 一 个 该 算法 已 被 破译 。 另 外 ， 从 密 
人 码 学 上 来 说 ， 组 合 J-K 触 发 器 性 能 很 甜 ， 这 种 类 型 的 发 生 器 容易 受到 相 
关 攻 击 [1451] | 


17.7.2 WRN AMREM 


在 文献 C1608, 1609] F, Steve Wolfram 建 议 用 一 维 空间 的 蜂窝 式 
自动 机 作为 一 个 伪 随 机 数 发 生 器 。 蜂 窜 式 自动 机 器 不 是 本 书 的 主题 ， 但 
Wolfram 的 发 生 器 由 一 维 位 数组 ai ass ags o apo o an 和 一 个 修 
正 函 数组 成 : 


f 
Ap 一 akı O(a, Yy Art) 
该 位 从 al 值 中 取出 一 位 ， 到 底 是 哪 一 位 没有 关系 。 


该 发 生 器 产生 的 序列 看 上 去 十 分 随机 。 然 而 ， 对 这 个 发 生 器 存在 已 
知 明文 攻击 “105?] 。 在 PC 机 上 只 需 n (=500) 位 就 可 破译 。 另 外 ，Paul 
Bardell 证 明了 蜂 锅 式 自动 机 的 输出 也 可 以 用 一 个 等 长 的 线性 反馈 移 位 寄 
存 器 来 产生 ， 因 此 它 也 没有 更 多 的 安全 性 [33] 。 





17.7.3 ”1p 发生 器 


文献 L193」 中 提出 了 该 发 生 器 ， 并 对 它 进行 了 分 析 。 如 采用 生 融 
在 时 刻 t 内 部 状态 是 x ， 那 么 


Xi+1 =bx, mod p 


RE as FN 4 HH EX, 除 以 p 的 最 低位 ， 这 里 的 除 是 取 余 数 。 为 了 获得 
最 长 周期 ， 种 数 bp 和 p 应 仔细 选择 : p 古 素数 而 b 是 模 p 的 本 原 根 。 不 幸 的 
是 ， 该 发 生 器 是 不 安全 的 (注意 b=2 时 ， 具 有 连接 整数 p 的 FCSR 输 出 是 
这 个 序列 的 逆 )。 








17.7.4 crypt (1) 








最 初 的 UNIX 加 密 算 法 crypt (1) 是 一 种 基于 与 恩 尼 格 马 算法 相同 理 
论 的 序列 密码 。 有 256 个 元 素 ， 带 反射 器 的 单 轮 代 蔡 密 码 。 轮 和 反射 器 
都 从 密 钥 产生 。 该 算法 比 第 二 次 世界 大 战 期 间 德国 的 恩 尼 格 马 算法 简单 
得 多 ， 对 于 一 个 熟练 的 密码 分 析 者 来 说 是 很 容易 破解 的 【1576、1299」 。 
一 个 称 为 密码 破译 工作 台 (CBW) 的 公开 UNIX 程 序 可 以 用 来 破解 用 
crypt (1) 加 密 的 文件 。 








17.7.5 其 他 方案 





另 一 个 发 生 器 是 基于 背包 问题 的 〈 参 见 19.2 节 ) [1363] 。 
CRYPTO-LEGGO 是 不 安全 的 [3014 。Joan Daemen 已 经 开发 出 
Substream、Jam 和 StepRightUp 等 方法 [402 ， 它 们 太 新 ， 还 不 能 评价 它 
们 。 文 献 中 还 描述 了 许多 其 他 算法 ， 更 多 的 是 保密 的 ， 并 且 已 经 用 到 设 
备 中 。 


17.8 序列 密码 设计 的 系统 理论 方法 





在 实践 中 ， 序 列 密码 设计 很 像 分 组 密码 设计 。 它 涉及 更 多 的 数学 理 


论 ， 但 最 终 是 由 密码 设计 者 提出 一 个 设计 然后 分 析 它 。 








根据 Rainer Rueppel 的 理论 ， 可 用 4 种 不 同 的 方法 来 构造 序列 密码 


L1360, 1362] , 


系统 理论 方法 。 使 用 一 套 基 本 的 设计 原理 和 准则 ， 保 证 每 一 个 设 
计 对 密码 分 析 者 来 说 是 一 个 困难 且 未 知 的 问题 。 


EÑ 


` 


.信息 理论 方法 。 使 密码 分 析 者 不 能 得 到 明文 。 不 ; 
了 多 少 工作 ， 他 将 永远 得 不 到 唯一 解 。 


A> 


密码 分 析 者 做 





复杂 性 理论 方法 。 使 密码 系统 基于 或 等 同 于 一 些 已 知 的 难题 ， 如 
子 分 解 或 解 离散 对 数 。 


BH 


随机 性 方法 。 通 过 迫使 密码 分 析 者 检测 大 量 无 用 的 数据 来 产生 一 
个 难于 控制 的 大 难题 。 





各 种 方法 因 对 密码 分 析 员 的 能 力 和 运气 、 密 码 成 功 定 义 和 安 全 概念 
的 不 同 而 有 差别 。 这 个 领域 绝 大 多 数 研究 都 是 理论 上 的 ， 但 在 那些 不 实 
用 的 研究 中 也 有 一 些 好 的 序列 密码 。 





系统 理论 方法 已 经 用 在 前 面 所 讲 的 所 有 序列 密码 中 ， 它 所 产生 的 大 
多 数 序列 密码 都 可 以 在 实际 中 使 用 。 密 码 设计 者 设计 的 密 钥 序 列 发 生 器 
都 有 可 测试 的 安全 特性 〈 周 期 、 位 的 分 布 、 线 性 复杂 性 等 ) ， 且 密码 不 
是 基于 数学 理论 。 密 码 设 计 者 也 研究 针对 这 些 发生 器 的 各 种 密码 分 析 技 
术 ， 并 确保 发 生 器 可 以 防止 这 些 攻击 。 





许多 年 来 ， 这 些 方法 已 经 导出 了 序列 密码 设计 标准 中 一 套 设计 准则 
(1432, 99. 1357. 1249] 。Rueppel 在 文献 [1362] 中 详细 地 论述 了 这 些 准 


则 。 
KAH, RABE. 


线性 复杂 性 准则 。 大 的 线性 复杂 性 、 线 性 复杂 性 曲线 、 局 部 线性 


.统计 特性 ， 如 理想 的 k 元 分 布 。 





混乱 。 每 个 密 钥 序列 位 必定 是 一 个 所 有 的 或 大 多 数 密 钥 位 的 复杂 
变换 。 


扩散。 子 结构 中 的 元 余 度 必 须 扩 大 到 大 范围 的 统计 特性 中 。 


-布尔 函数 的 非 线 性 准则 ， 如 m 阶 相关 免疫 性 、 与 线性 函数 的 距离 ， 


雪 朋 准则 等 。 


这 些 列 出 的 设计 准则 并 不 仅仅 适用 于 系统 理论 方法 设计 的 序列 密 
码 ， 它 对 所 有 的 序列 密码 来 说 都 是 正确 的 。 它 甚至 对 所 有 的 分 组 密码 也 
古 正确 的 。 系 统 理论 方法 的 优点 是 设计 出 的 序列 密码 可 直接 满足 要 求 。 














这 些 密 码 系 统 的 主要 问题 是 还 无 法 证 明 它 们 的 安全 性 ， 从 未 证 明 过 
设计 准则 对 安全 性 来 说 是 否 是 充分 和 必要 的 。 一 个 密 钥 序 列 发 生 器 满足 
所 有 的 设计 原理 ， 但 仍然 被 证 明 是 不 安全 的 。 另 一 个 则 可 能 是 安全 的 。 
这 里 有 一 些 魔法 在 起 作用 。 





另 一 方面 ， 破 译 这 些 密 钥 序列 有 发生 圳 中 的 每 一 个 ， 对 密码 分 析 者 来 
说 都 是 困难 的 。 如 宋 许多 不 同 的 发 生 需 都 能 被 人 破译， 那么 密码 分 析 者 也 
不 值得 花 时 间 去 攻击 每 个 发 生 占 ， 他 可 以 找到 更 好 的 分 解 大 数 因子 或 计 
算 离散 对 数 的 方法 来 获得 名 声 和 荣誉 。 














17.9 序列 密码 设计 的 复杂 性 理论 方法 


Rueppel 也 描绘 了 序列 密码 的 复杂 性 理论 设计 方法 。 这 里 ， 密 码 设 
计 者 打算 用 复杂 性 理论 证 明 他 的 发 生 器 是 安全 的 。 结 末 ， 基 于 类 似 于 公 
开 密 钥 密码 学 难题 的 发 生 器 往往 变 得 更 复杂 。 并 且 与 公开 密 钥 算法 一 
样 ， 它 们 变 得 更 慢 而 且 答 重 。 








17.9.1 ”Shamir 伪 随机 数 发 生 器 

Adi Shamir 使 用 RSA 算 法 作为 伪 随 机 数 发 生 器 [1417」 。Shamir 证 明 
预测 伪 随 机 数 发 生 器 的 输出 等 于 破译 RSA， 输 出 中 潜在 的 偏差 见 
[1401, 200] 。 


17.9.2 ”Blum-Micali 发 生 器 


该 发 生 器 通过 计算 离散 对 数 的 难度 来 保证 它 的 安全 性 [200. eg 
征 素 数 ， 且 p 是 奇 素数 。xo 为 密 钥 ， 则 有 : 


Tus = p" mod p 


如 果 xi < Cp-1) /2， 则 发 生 峰 的 输出 是 1， 人 否则 ， 输 出 是 0。 


如 果 p 足 够 大 ， 则 计算 模 p 的 离散 对 数 是 不 可 行 的 ， 那 么 该 发 生 器 就 
安全 了 。 其 他 理论 结果 可 在 文献 [1627、986、985、1237、896、799 ] 
中 找到 。 


17.9.3 RSA 


RSA RR (35. 36) 是 对 文献 [200] 中 的 发 生 器 的 修改 。 初 始 参 
数 是 由 两 个 大 素数 p 和 q 乘 积 产生 的 N、 与 (p-1) (q-1) 互 素 的 整数 e 和 
一 个 小 于 NN 的 随机 种 子 xo o 


Wg = a mod N 


发 生 器 的 输出 是 x; 的 最 低位 。 该 发 生 器 的 安全 性 基于 破译 RSA 的 难 
度 。 如 果 N 足 够 大 ， 则 发 生 器 是 安全 的 。 其 他 的 理论 可 在 文献 [1569、 
1570、1571、30、354] 中 找到 。 


17.9.4 Blum、Blum 和 Shub 


最 简单 有 效 的 复杂 性 理论 发 生 器 称 为 Blum、Blum 和 Shub 发 生 器 ， 
是 以 它 的 发 明 者 命名 的 。 为 方便 起 见 ， 将 其 缩写 为 BBS， 尽 管 它 有 时 称 
为 二 次 剩余 发 生 器 [193] 。 





BBS 发 生 器 的 理论 是 必须 做 模 n 二 次 剩余 (参见 11.3 节 ) 。 这 里 讲述 


了 它 是 如 何 工作 。 


首先 找到 两 个 大 素数 p 和 q， 它 们 满足 模 4 余 3。 这 两 个 数 的 乘积 得 到 
的 n 是 Blum 整 数 。 选 择 为 外 一 个 与 n 互 素 的 随机 整数 。 计 算 


Xo =x? mod n 





这 个 就 是 发 生 器 的 种 子 。 


现在 可 以 开始 计算 位 序列 。 第 i 个 伪 随 机 位 是 xi 的 最 低位 ， 这 里 


x; = xf mod n 


TARA aS ANERE RE EN ERGA T AR TAARAT 
有 的 i-1 位 。 如 果 已 知 p 和 q， 可 以 直接 计算 第 if 位 。 


i> mod((p—1) (q—1)) 


b 是 x 的 最 低位 ， 这 里 Z 5E T 


这 个 特性 意味 着 你 可 以 使 用 这 个 密码 学 意义 上 的 强 伪 随 机 位 友 生 器 
作为 随机 访问 文件 的 序列 密码 系统 。 


该 发 生 器 的 安全 性 依赖 于 因子 分 解 n 的 难度 。 你 可 以 公开 n， 任 何人 
都 能 使 用 该 发 生 器 产生 位 序列 。 然 而 ， 除 非 密码 分 析 者 能 够 因 式 分 解 
n， 和 否 则 他 永远 不 能 预知 发 生 器 的 输出 一 一 甚至 不 可 能 做 出 如 下 声 
明 : “下 一 位 有 51% 的 概率 是 1。” 


更 好 的 是 ，BBS 发 生 器 对 左 不 可 预测 、 对 右 不 可 预测 。 这 意味 着 如 
果 给 出 一 个 由 该 发 生 器 产生 的 序列， 则 密码 分 析 者 既 不 能 预测 序列 中 的 
下 一 位 ， 也 不 能 预知 序列 中 的 前 一 位 。 一 些 无 人 能 理解 的 复杂 的 位 发 生 
虱 往 往 是 不 安全 的 ， 但 该 方法 的 数学 基础 是 n 的 因子 分 解 问题 。 








该 算法 很 慢 ， 但 可 加 速 。 结 果 ， 你 可 以 使 用 每 个 x; 更 多 的 最 低位 用 
于 伪 随 机 位 。 根 据 [1569、1570、1571、35、36] ， 如 果 n 是 xi 的 长 
度 ， 则 可 以 使 用 xi 的 最 低 log, n 位 。BBS 发 生 器 相对 要 慢 一 些 ， 对 于 序 
列 密码 并 没有 用 处 。 然 而 ， 对 于 高 安全 性 的 应 用 程序 〈 如 密 钥 产生 ) ， 
该 发 生 器 是 最 好 的 选择 。 





17.10 ”序列 密码 设计 的 其 他 方法 


在 序列 密码 的 信息 理论 方法 中 ， 假 定 密码 分 析 者 有 无 限 的 时 间 和 计 
算 能 力 。 对 这 样 的 敌手 来 说 ， 唯 一 安全 且 实 用 的 序列 密码 是 前 面 的 一 次 
一 密 乱 码 本 《参见 1.5 节 ) 。 因 为 实际 上 位 并 不 在 乱码 本 中 ， 所 以 也 称 
为 一 次 一 密 带 (one-time tape) 。 两 个 磁带 ， 一 个 在 加 密 端 ， 一 个 在 解 
密 端 ， 它 们 有 同样 的 随机 密 钥 序列 。 加 密 时 ， 只 需 将 磁带 上 的 位 与 明文 
异 或 ， 解密 时 ， 就 用 另 一 个 同样 磁带 上 的 位 与 密 文 异 或 。 同 一 个 密 钥 序 
列 不 能 使 用 两 次 。 因 为 密 钥 序 列 是 真 随机 的 ， 所 以 没有 人 能 预测 密 钥 序 
列 。 如 果 你 在 完成 后 将 磁带 烧毁 ， 那 就 完全 保密 了 《假定 没有 其 他 人 有 
磁带 的 副本 ) 。 








Claus Schnorr 提 出 了 男 一 个 信息 理论 序列 密码 设计 方法 ， 该 方法 假 
设 密码 分 析 者 仅 可 以 访问 有 限 的 密 文 位 “1395」 。 该 结果 具有 较 高 的 理 
论 价值 ， 但 到 目前 为 止 还 没有 实用 价值 。 要 了 解 更 多 细节 ， 请 参考 文献 
[1361, 1643, 1193] 。 








在 随机 性 的 序列 密码 中 ， 密 码 设计 者 总 是 保证 密码 分 析 者 有 一 个 不 
可 解雇 的 大 问题 。 目 标 是 在 采用 小 密 钥 的 同时 ， 增 加 密码 分 析 者 必须 处 
理 的 密 钥 位 数 。 这 可 以 通过 利用 一 个 大 的 公开 随机 串 来 实现 。 密 钥 将 指 
定 该 随机 串 中 的 哪 一 部 分 来 加 密 和 解密 。 不 知道 密 钥 的 密码 分 析 者 被 迫 


用 穷 举 攻 击 来 搜索 随机 串 。 这 种 密码 的 安全 性 可 以 通过 密码 分 析 者 在 用 
纯 猜 想 确定 密 钥 的 机 会 之 前 必须 检查 的 平均 位 数 来 表示 。 


17.10.1 Rip van Winkle 密 码 


James Massey 和 Ingemar Ingemarsson 提 出 了 Rip van Winkle 密 码 
L1011] ， 如 此 命名 的 原因 是 在 试图 解密 前 接收 者 必须 接收 2? 位 密 文 。 
该 算法 如 图 17-10 所 示 ， 实 现 起 来 简单 ， 被 证 明 是 安全 的 ， 但 完全 不 实 
用 。 只 是 简单 地 将 密 钥 序 列 与 明文 异 或 ， 且 密 钥 序列 可 延迟 0 一 20 年 
一 一 准确 的 延迟 是 密 钥 的 一 部 分 。 用 Massey 的 话说 : “如 果 一 个 人 愿意 
等 数 百 万 年 去 读 明文 的 话 ， 他 就 可 以 轻易 地 保证 敌 方 密码 分 析 员 需要 数 
于 年 的 时 间 才 能 破译 密码 。” 这 方面 思想 的 进一步 描述 可 在 L1577、 
755] Pikal 





随机 位 序列 


明文 位 序列 





年 
(长 度 是 保密 的 且 依 赖 于 密 钥 ) 


图 17-10 Rip van Winkle% 18 


17.10.2 ”Diffie 随 机 序列 密码 


该 方案 首先 由 Whitfield Diffie 提 出 11362] 。 数 据 是 2 长 的 随机 序 
列 。 密 钥 k 是 一 个 随机 n 位 串 。 为 了 加 密 消 轧 ，Alice 将 第 k 个 随机 串 作 为 
一 次 一 密 乱 码 本 。 然 后 她 通过 2 +1 个 不 同 的 信道 发 送 密 文 和 2? 个 随机 
Po 


Bob 知 道 k， 因 此 他 很 容易 选择 哪个 一 次 一 密 乱 码 本 来 解密 消 筷 
Eve 则 别 无 选择 ， 只 得 每 次 都 检查 随机 序列 直到 找到 正确 的 一 次 一 蜜 乱 
码 本 。 任 何 一 个 攻击 都 必须 检查 O〈2n ) 个 期 望 的 位 数 。Rueppel 指 出 如 
果 你 发 送 n 而 不 是 2° 个 随机 串 ， 且 和 密 钥 用 来 指定 这 些 随机 串 的 线性 组 
合 ， 那 么 它 同样 是 安全 的 。 





17.10.3 ”Maurer 随 机 序列 密码 





Ueli Maurer 描 述 了 用 几 个 大 的 公开 随机 位 序列 与 明文 相 异 或 的 方案 
[1034、1029、1030] 。 密 钥 置 于 每 个 序列 内 的 开始 位 置 。 该 算法 几乎 可 以 
证 明 是 安全 的 ， 破 译 者 必须 配置 很 大 的 存储 器 ， 而 不 管 他 有 多 大 的 计算 
能 力 。Maurer 宣 称 该 方案 可 实际 用 在 大 约 100 种 不 同 的 序列 中 ， 每 个 序 
列 为 1020 随机 位 。 数 字 化 月 球 表面 面积 可 能 是 得 到 这 么 多 位 的 一 种 方 
a 














17.11 级 联 多 个 序列 密码 


如 果 性 能 没有 问题 ， 那 么 就 没有 理由 不 选择 多 个 序列 密码 并 级 联 它 
们 。 只 需 将 明文 与 每 个 发 生 器 的 输出 相 异 或 就 可 得 到 密 文 。Ueli Maurer 
的 结果 “参见 15.7 市 ) 表明 ， 如 果 各 个 发 生 器 有 独立 的 密 铀 ， 那 么 这 种 
级 联 的 安全 性 至 少 和 级 联 中 最 强 算法 的 安全 性 一 样 ， 可 能 还 更 安全 。 





序列 密码 可 以 采用 与 分 组 密码 相同 的 方法 来 组 合 〈 参 见 第 15 章 ) 。 
厅 列 密码 可 以 同 其 他 序列 密码 级 联 (参见 15.7 市 ) ， 也 可 以 同 分 组 密码 
级 联 。 


一 个 聪明 的 诀 罕 是 用 一 种 算法 《不 论 分 组 或 序列 算法 ) 经 常 地 在 快 
速 序列 算法 (甚至 可 能 是 分 组 算法 的 OFB 模 式 ) 中 更 换 密 钥 。 快 速算 法 
可 以 很 弱 ， 因 为 密码 分 析 者 绝 不 可 能 得 到 用 相同 密 钥 加 密 的 许多 明文 。 





在 快速 算法 内 部 状态 的 大 小 (这 可 能 影响 安全 ) 和 更 换 密 钥 的 频率 
之 间 有 一 个 折 中 。 更 换 密 钥 必须 相对 快 一 些 ， 有 较 长 密 钥 预 处 理 时 间 的 
算法 不 适合 这 种 应 用 。 并 且 更 换 密 钥 应 该 独立 于 快速 算法 的 内 部 状态 。 








17.12 ”选择 序列 密码 





对 序列 密码 的 研究 表明 ， 新 的 攻击 方法 具有 惊人 的 正则 性 。 以 前 的 
序列 密码 都 是 基于 数学 理论 。 这 种 理论 可 以 用 来 证 明 密码 具有 好 的 特 
性 ， 但 也 能 用 来 找到 对 密码 的 破译 方法 。 基 于 这 种 原因 ， 我 担心 任何 基 
于 LFSR 的 序列 密码 。 


我 更 喜欢 沿用 分 组 密码 的 方法 来 设计 序列 密码 : 非 线 性 变换 、 大 的 
S 盒 等 。RC4 是 我 最 喜欢 的 ，SEAL 其 次 。 我 很 关注 对 我 自己 设计 的 发 生 
器 以 及 组 合 LFSR 和 FCSR 发 生 器 的 密码 分 析 结 果 ， 这 对 我 来 说 似乎 是 在 
实际 设计 中 对 序列 密码 一 个 非常 成 功 的 研究 领域 。 或 者 ， 你 可 以 在 OFB 
或 CFB 模 式 中 使 用 分 组 密码 来 得 到 序列 密码 。 








表 17-3 给 出 了 一 些 算法 的 速度 测量 。 它 仅 用 来 做 比较 。 


表 17-3 ”在 33MHz 的 486SX 上 一 些 序 列 密码 的 加 密 速 度 






加 密 速度 ( 千 字 节 / 秒 ) 


MERRE PFI) 
= RC4 164 








62 381 


17.13 ”从 单个 念 随机 序列 及 生 融 产生 多 个 序列 


如 果 你 在 一 个 应 用 中 需要 加 密 多 个 信道 《如 多 路 复 用 器 ) ， 简 单 的 
解决 方法 就 是 对 每 个 信道 使 用 不 同 的 伪 随 机 序列 发 生 器 。 这 束 有 两 个 问 
题 : 需要 更 多 的 硬件 ， 且 所 有 的 发 生 峰 都 必须 同步 。 如 只 使 用 一 个 发 生 
需 则 问题 会 更 加 简单 。 











一 个 解决 办 法 就 是 用 时 钟 来 控制 多 个 发 生 需 的 时 间 。 如 有 果 你 想 要 3 
个 独立 的 序列 ， 那 么 钟 控 发 生 器 3 次 ， 并 发 送 1 位 到 每 个 序列 中 。 这 种 技 
术 是 可 行 的 ， 但 可 能 在 发 生 器 达到 你 希望 的 速度 时 发 生 问题 。 例 如 ， 如 
果 你 只 能 以 3 倍 于 数据 序列 的 速度 钟 控 发 生 器 ， 那 么 你 只 能 产生 3 个 序 
列 。 男 一 个 方法 就 是 对 每 个 通道 使 用 同一 个 序列 一 一 可 能 要 使 用 不 同 的 
延迟 。 这 很 不 安全 。 











一 个 由 NSA 拥 有 专利 的 真正 好 的 思想 £14991 见 图 17-11。 将 你 喜欢 
的 发 生 堪 的 输出 转 储 到 一 个 mm 位 的 简单 移 位 寄存 器 中 。 在 每 一 个 时 钟 脉 
冲 ， 将 寄存 器 向 右 移动 一 位 。 然 后 ， 对 于 每 个 输出 序列 ， 将 寄存 器 与 作 
为 每 个 序列 唯一 身份 的 m 位 控制 同 量 进行 与 运算 ， 然 后 将 所 有 位 异 或 后 
作为 序列 的 输出 。 如 果 要 将 多 个 输出 序列 并 行 处 理 ， 那 么 需要 一 个 独立 
控制 回 量 和 一 个 对 每 个 输出 序列 的 异 或 /与 逻辑 阵列 。 













7 位 输出 





控制 向 量 1 


| 


逐 位 与 运算 


序列 1 序列 2 序列 n 


控制 向 量 2 控制 向 量 n 





图 17-11 BALA BS 


有 些 事情 需要 注意 。 如 果 茶 个 序列 是 其 他 序列 的 线性 组 合 ， 那 么 系 
统 束 可 能 被 破译 。 但 如 果 你 足够 聪明 ， 束 可 以 找到 一 个 解决 该 问题 简单 
且 安 全 的 办 法 。 





17.14 ” 真 随机 序列 发 生 器 





有 时 密码 学 意义 上 安全 的 伪 随 机 数 并 不 足够 好 。 在 密码 学 多 个 应 用 
中 ， 需 要 的 是 真正 的 随机 数 。 密 钥 的 产生 就 是 一 个 最 好 的 例子 。 伪 随机 
序列 有 发生 器 产生 的 随机 密 钥 是 不 错 的 ， 但 如 果 收 方 得 到 了 一 份 此 发 生 需 
和 主 密 钥 的 副本 ， 他 们 融 能 产生 相同 的 密 钥 来 破解 你 的 密码 系统 。 一 个 
真正 的 随机 序列 发 生 器 产生 的 序列 是 不 可 再 现 的。 任何 人 人， 即便 是 你 目 
己 痢 不 能 再 次 产生 它们 。 














征 否 能 产生 真正 的 随机 数 ， 长 期 以 来 这 个 问题 都 处 在 激烈 的 争论 之 
中 。 我 并 不 想 对 这 个 争论 谈 什么 。 这 里 的 目的 是 产生 具有 与 随机 位 相同 
统计 特性 并 且 不 可 再 现 的 位 。 








对 于 任何 真正 的 随机 序列 发 生 器 来 说 ， 最 重要 的 是 它 能 经 得 起 测 
试 。 关 于 这 个 ， 许 多 文献 都 有 记载 。 随 机 性 测试 可 见 [863、99] 。 
Maurer 证 明了 所 有 这 些 测试 都 建立 在 压缩 序列 的 基础 上 [1031 1082), 
如 果 你 能 压缩 一 个 随机 序列 ， 那 么 它 不 具有 真正 的 随机 性 。 





最 重要 的 是 产生 一 个 让 你 的 对 手 不 可 能 想到 的 序列 。 这 听 上 去 很 容 
易 ， 但 实现 起 来 比 你 想 的 要 困难 得 多 。 这 里 我 并 不 给 出 某 些 产生 随机 序 
列 方法 的 证 明 ， 这 些 方法 提供 了 不 能 轻易 再 现 的 序列 。 要 想 知 道 更 多 的 
细节 ， 参 考 文献 [1375、1376、511] 。 


17.14.1 RAND 表 


回 到 1955 年 ， 那 时 计算 机 仍 是 一 个 新 东西 ，Rand 公 司 出 版 了 一 本 包 
括 100 万 个 随机 数 的 书 [1289」 。 书 中 描述 了 以 下 方法 : 


本 书 中 的 随机 数 通过 随机 化 电子 轮 盘 的 转 轮 产生 的 基本 表 获 得 。 简 
要 地 说 ,平均 每 秒 产 生 大 约 100000 个 脉冲 的 随机 频 训 脉冲 源 ， 用 一 个 固 
定 频率 脉冲 大 约 每 秒 选 通 一 次 。 脉 冲 标 准 电路 使 脉冲 通过 5 位 二 进 制 计 
数 嚣 ， 在 原理 上 机 器 是 32 位 轮 盘 赌 转 ， 平 均 每 次 试验 旋转 3000 闭 且 每 秒 
产生 一 个 数 。 使 用 二 进 制 至 十 进 制 转换 器 转换 32 个 数字 中 的 20 个 〈 剩 下 
的 12 个 丢弃 ) ， 并 仅 剩 下 最 后 2 位 数字 ， 该 数 饥 入 IBM 罕 孔 器 中 最 终 产 
生 随 机 数 的 穿孔 卡 表 。 





该 书 继续 讨论 了 数据 的 各 种 随机 性 测试 结果 ， 它 还 指出 怎样 使 用 该 
书 来 寻找 随机 数 : 





数字 表 的 行 编号 从 00000 一 19999。 使 用 该 表 时 ， 首 先 寻 找 一 个 随机 
起 始 位 置 。 把 书 翻 到 还 没有 选择 数字 表 的 一 页 ， 并 且 随 机 地 选 一 个 5 位 
数 ， 用 这 个 数 的 第 一 位 数字 模 2 来 决定 起 始 行 ， 用 右边 两 位 数 模 50 来 确 
定 起 始 行 中 的 起 始 列 。 为 了 避免 重复 打开 同一 页 ， 朝 页 的 中 心 选 择 随机 
数 ， 每 一 个 用 来 确定 起 始 位 置 的 5 位 数 都 应 做 上 标记 ， 并 且 不 再 次 使 
用 。 











这 本 书 的 主要 内 容 是 “随机 数字 表 ”， 它 以 5 位 数字 组 的 形式 列 出 
(“10097325337652013586...”) 一 行 50 个 数字 ， 一 页 50 行 。 除 了 第 283 
页 有 一 个 读 作 “69696” 的 特别 生动 部 分 之 外 ， 其 余 400 页 的 表 读 起 来 都 使 
人 厌烦 。 这 本 书 还 包括 了 100000 个 正 态 偏差 。 


关于 RAND 的 书 ， 有 趣 的 事情 不 是 这 里 有 100 万 个 随机 数 ， 而 是 它 
们 在 计算 机 革新 前 产生 。 许 多 密码 算法 使 用 了 一 个 称 为 “ 魔 数 ?的 任意 常 
数 ， 从 RAND 表 中 选择 的 魔 数 能 确保 它们 不 会 用 于 某 种 极 坏 的 动机 。 例 
如 ，Khafre 这 样 做 了 。 


17.14.2 ”使 用 随机 噪声 


采集 大 量 随机 数 的 最 好 方法 是 选取 真实 世界 的 目 然 随机 性 ， 这 种 方 
法 经 党 需要 一 个 特定 的 硬件 ， 但 仍 需 要 一 定 的 计算 机 技巧 。 


寻找 一 个 有 规律 但 又 随机 发 生 的 事件 : 超过 茶 一 门限 值 的 大 气 品 
声 、 刚 学 走路 的 婴孩 等 。 测 量 并 记录 第 一 个 事件 和 第 二 个 事件 的 时 间 间 
隔 ， 同 样 测量 并 记录 第 二 个 事件 和 第 三 个 事件 的 时 间 间 隔 。 如 采 第 一 个 
时 间 间 隔 大 于 第 二 个 时 间 间 隔 ， 则 输出 1 作为 位 ， 如果 第 二 个 时 间 间 隔 
大 于 第 一 个 时 间 间 隔 ， 则 输出 0 作为 事件 。 对 下 一 个 事件 重复 上 述 步 


又 。 








在 当地 报纸 上 关于 纽约 股票 交易 所 收盘 价 的 一 个 草图 上 ， 比 较 它 今 


天 和 昨天 的 收盘 价 ， 和 在 升 了 ， 输 出 0， 人 否则 ， 和 输出 1。 


在 计算 机 上 挂 一 个 Geiger 计 数 句 ， 在 固定 时 间 间 隔 内 对 发 射 次 数 计 
数 ， 保 留 最 低 有 效 位 。 或 者 测量 两 次 滴答 声 之 间 的 间隔 时 间 。“《 既 然 辐 
出 源 是 有 隧 减 性 的 ， 两 次 滴答 声 之 间 的 间 阳 时间 会 越 来 越 长 ， 你 需要 选 
择 一 种 长 达 半 个 世纪 的 辐射 源 以 忽略 此 影响 一 一 如 钙 。 如 果 你 担心 你 的 
健康 ， 你 可 以 使 用 适当 的 统计 特性 ) 。 











G.B.Agnew 提 出 了 一 个 适用 于 集成 到 VLSI 设备 的 真 随机 位 发 生 器 
21 。 它 是 一 个 金属 绝缘 体 半 导体 电容 器 (MISC) 。 将 两 个 MISC 很 
近 地 放 在 在 一 起 ， 随 机 位 是 它们 两 个 之 间 的 电荷 量 之 差 的 函数 。 另 一 个 
随机 数 发 生 器 产生 一 个 基于 自 激 振荡 器 中 频率 不 稳定 性 随机 位 序列 
L535] 。AT&T 公 司 商业 芯片 产生 的 随机 数 也 是 基于 相同 的 现象 “67] 
。M.Gude 制 造 了 一 个 根据 物理 现象 (例如 ， 放 射 性 衰变 ) 采集 随机 位 
的 随机 数 发 生 器 L668- 669] 。Manfield Richter 研 制 了 一 个 基于 半导体 二 
极 管 热 噪声 的 随机 数 发 生 器 -1309」 。 














假定 从 一 个 捕获 的 水 银 原子 发 出 的 连续 2e4 光 之 间 的 间 隅 时 间 是 随 
机 的 ， 那 么 可 以 用 它 来 产生 随机 数 。 更 好 的 方法 是 找 一 家 生产 随机 数 产 
生 心 片 的 半导体 公司 ， 它 们 束 产 生 那 个 东西 。 


也 有 使 用 计算 机 磁盘 驱动 器 的 随机 数 发 生 器 “33」 。 它 测量 读 取 磁 
盘 司 区 的 时 间 ， 并 利用 时 间 差 作为 随机 数 源 。 为 了 消除 从 量化 中 产生 的 


结构 性 ， 它 过 渡 定 时 数据 ， 然 后 将 快速 传 里 叶 变 换 应 用 到 数字 癌 量 中 ， 
这 束 去 挥 了 偏差 和 相关 性 。 最 终 ， 它 用 CO, m) 之 间 单 元 间隔 规范 化 的 
频率 中 的 频谱 来 作为 随机 位 。 磁 盘 转动 中 的 大 部 分 偶 普 都 是 因为 空气 震 
荡 引 起 的 ， 所 以 系统 具有 很 大 的 随机 性 。 如 果 在 输出 中 保持 太 多 的 位 ， 
那么 可 以 用 快速 传 里 叶 变 换 作 为 随机 数 发 生 需 ， 且 可 预见 风险 。 节 好 是 
反复 读 同一 个 磁盘 扇 区 ， 这 样 就 不 必 过 虑 从 磁盘 而 来 的 结构 性 了 。 该 系 
统 运行 一 次 每 分 钟 能 收集 大 约 100 位 “484 。 








17.14.3 ”使 用 计算 机 时 钟 





如 果 你 想 用 一 个 随机 位 《或 甚至 多 个 ) ， 那 么 你 从 任何 时 钟 寄存 器 
中 取 最 低 有 效 位 即 可 。 因 为 存在 各 种 潜在 的 同步 ， 所 以 在 UNIX 系 统 中 
这 也 许 是 极 不 随机 的 ， 但 它 在 个 人 计算 机 上 有 是 可 行 的 。 





注意 这 种 方法 产生 太 多 的 二 进 制 数 字 。 连 续 运 行 相同 子 程序 多 次 很 
容易 使 这 种 方式 产生 的 位 性 斜 。 例 如 ， 如 采 每 一 个 产生 位 的 子 程序 都 用 
偶数 个 时 钟 驱 动 ， 那 么 发 生 需 将 输出 一 个 相同 位 的 无 穷 序列 ， 如 果 每 一 
个 产生 位 的 子 程序 都 用 奇数 个 时 钟 驱动 ， 那 么 发 生 需 将 输出 一 个 无 穷 的 
交错 位 序列 。 即 使 结果 不 是 这 么 明显 ， 所 产生 的 位 序列 也 远 不 是 随机 
的 。 








随机 数 发 生 器 工作 如 下 -918] : 


我 们 的 真 随机 数 发 生 器 ..…. 工 作 时 先 设置 一 个 报警 ， 然 后 在 CPU 中 
迅速 增加 计数 器 寄存 器 直到 中 断 发 生 。 然 后 将 寄存 器 的 内 容 同 输出 缓冲 
区 字 节 的 内 容 《〈 将 寄存 器 数据 分 成 89 位 ) 异 或 。 在 输出 缓冲 区 的 每 个 字 
节 都 填 满 后 ， 将 缓冲 区 的 每 一 位 循环 右 移 两 位 。 这 样 做 的 效果 是 将 最 活 
跃 的 《和 最 随机 的 ) 最低 位移 到 最 高 位 上 。 整 个 过 程 重 复 3 次 。 最 后 ， 
绥 冲 区 的 每 一 个 字符 都 在 中 断后 被 两 个 计数 寄存 器 中 的 最 随机 位 用 过 。 
那 就 是 发 生 了 4n 次 中 断 ， 这 里 n 指 所 希望 的 随机 字 节 数 。 








这 种 方法 对 系统 中 断 和 时 钟 间隔 的 随机 性 非常 敏感 。 在 UNIX 机 器 
中 测试 时 ， 其 输出 看 起 来 相当 好 。 


17.14.4 测量 键盘 反应 时 间 


人 们 的 打字 方式 有 随机 和 非 随机 的 。 他 们 的 非 随机 方式 可 用 作 丑 份 
识别 ， 随 机 可 用 来 产生 随机 位 。 测 量 连 续 按 键 的 时 间 ， 然 后 取 这 些 测 量 
的 最 低 有 效 位 。 这 个 技术 在 UNIX 终 问 可 能 行 不 通 ， 因 为 它们 在 获得 你 
的 程序 之 前 要 通过 滤波 器 和 其 他 机 制 ， 但 在 个 人 计算 机 上 行 得 通 。 








理想 的 情况 是 ， 每 按键 一 次 ， 仪 取 一 个 随机 位 ， 采 集 更 多 的 位 可 能 
会 使 结果 有 偏差 ， 因 为 此 结果 取决 于 打字 员 能 任 胜 任 连续 敲 击 键盘 一 段 
时 间 。 然 而 ， 这 个 技术 是 有 限 的 。 在 产生 密 钥 时 ， 东 人 输入 100 个 左右 
的 单词 是 很 容易 的 事情 ， 没 有 理由 为 一 次 一 密 乱 码 本 产生 密 钥 系列 而 要 


求 打 字 员 进行 输入 10 万 个 单词 的 试验 。 
17.14.5 ”偏差 和 相关 性 
所 有 这 些 系统 的 一 个 主要 问题 是 产生 序列 的 非 随 机 性 。 基 本 的 物理 


过 程 可 能 是 随机 的 ， 但 在 计算 机 的 数字 部 分 和 物理 过 程 之 间 存 在 着 许多 
类 型 的 测量 仪器 ， 这 些 仪器 很 容易 引起 一 些 问 题 。 





HERR mA: (bias〉 的 一 种 方式 是 把 儿 个 位 寞 或 在 一 起 。 如 果 一 个 随 
机 位 对 于 因子 e 偏 莽 趋 于 0， 那 么 0 出 现 的 概率 可 表述 为 





P (0) =0.5+e 





异 或 这 些 位 中 的 两 个 : 


P (0) = (0.5+e) 2+ (0.5-e) 2 =0.5+22 


采用 相同 的 方法 ， 姑 或 4 个 这 样 的 位 : 


P (0) =0.5+8e4 


异 或 m 位 将 指数 式 收敛 于 0 或 1 的 概率 。 如 果 你 知道 应 用 程序 所 能 接 
受 的 最 大 偏 差 ， 那 么 就 能 计算 出 需要 寞 或 多 少 位 来 得 到 人 允许 偏差 的 随机 


一 个 更 好 的 方法 就 是 看 一 对 中 的 两 位 。 如 果 两 位 一 样 ， 则 放弃 它们 
看 下 一 对 ; 如 果 两 位 不 一 样 ， 则 取 第 一 位 作为 发 生 器 的 输出 。 这 样 就 完 
全 避免 了 偏差 。 其 他 减少 偏差 的 技术 还 有 变换 映射 、 压 织 和 快速 傅 里 叶 
变换 [511] . 


两 种 方式 的 潜在 问题 就 是 ， 如 果 在 相 邻 位 之 间 存 在 相关 性 
(correlation) ， 那 么 这 些 方法 将 增加 偏差 。 修 正 的 唯一 方法 就 是 使 用 
多 个 随机 源 。 取 4 个 不 同 的 随机 源 并 异 或 它们 ， 或 者 取 两 个 随机 源 并 成 
对 地 处 理 它 们 。 





例如 ， 取 一 个 放射 性 源 ， 把 Geiger 计 数 器 挂 到 计算 机 上 。 取 一 对 品 
声 二 极 管 ， 每 次 记录 噪声 超过 茶 峰 值 的 事件 。 测 量 大 气 噪声 。 从 每 个 事 
件 中 得 到 一 个 随机 位 ， 将 它们 腊 或 产生 一 个 随机 位 ， 这 种 可 能 性 是 无 穷 
的 。 














随机 数 发 生 器 有 偏差 这 个 事实 并 不 意味 它 没有 用 处 ， 仅 仅 意 味 着 它 
不 太 安 人 全。 例如， 考虑 Alice 产 生 三 重 DES 的 168 位 密 钥 的 问题 ， 她 拥有 
的 一 切 就 是 具有 0 偏差 的 一 个 随机 位 发 生 器 : 它 产生 55% 的 0 和 45% 的 
1。 这 意味 着 每 个 密 钥 位 的 灶 仅 为 0.99277 位 。 如 果 发 生 器 是 完备 的 ， 那 
么 每 个 密 钥 位 的 炳 应 为 1 位 。 企 图 破译 这 个 密 钥 的 Mallory 能 优化 穷 举 搜 
索 ， 首 先 从 最 可 能 的 密 钥 〈000...0) 开始， 朝 最 不 可 能 的 密 钥 (111..… 
1) 依次 搜索 。 因 为 有 偏差 ，Mallory 能 在 21% 次 尝试 后 找到 密 钥 。 如 果 
没有 偏差 ，Mallory 则 可 能 要 尝试 2111 次 。 结 果 密 钥 有 更 少 的 安全 性 ， 但 




















不 仅 只 有 一 点 。 


17.14.6 ”提取 随机 性 


在 通常 情况 下 ， 产 生 随 机 数 的 最 好 办 法 束 是 找 出 许多 似乎 是 随机 的 
事件 ， 然 后 从 中 提取 随机 性 。 这 种 随机 性 能 存储 在 一 个 应 用 程序 需要 的 
库 或 存储 器 中 。 单 癌 散 列 函 数 即 可 用 于 此 ， 它 们 速度 很 快 ， 因 此 可 以 用 
它们 寻找 一 位 而 不 用 担心 性 能 或 实际 随机 性 。 将 能 找到 的 任何 东西 进行 
散 列 运算 ， 这 至 少 有 些 随机 性 。 可 尝试 : 


-每 个 按键 的 一 个 副本 。 

:鼠标 命令 。 

.而 区 数 、 一 天 的 某 个 时 间 和 寻找 每 个 磁盘 操作 的 延迟 。 
-实际 鼠标 位 置 。 

-显示 器 扫描 线 数 。 

实际 显示 图 像 的 内 容 。 

FAT 表 、 核 心 表 等 的 内 容 。 


-访问 /修改 次 数 /设备 /tty。 


.CPU 负载 。 


-网络 数据 包 到 达 次 数 。 


BEEN ETA o 





没有 连接 麦 元 风 的 设备 /音频 。 

如 果 系 统 对 CPU 和 日 历 钟 使 用 了 独立 的 晶体 振荡 保 ， 那 么 可 在 紧密 
的 循环 中 读 取 时 间 。 在 有 些 〈 不 是 全 部 ) 系统 中 ， 这 样 可 反映 两 个 振荡 
器 之 间 随 机 相位 的 抖动 。 





因为 在 这 些 事件 中 ， 很 多 随机 性 在 它们 的 时 限 内 ， 所 以 最 好 使 用 精 
确 的 时 钟 。 使 用 Intel 8254 时 钟 芯 片 的 《或 等 价 的 ) 标准 PC 的 驱动 频率 
为 1.1931818MHz， 因 此 直接 读 计 数 器 寄存 右 将 导致 一 个 838 纳 秒 的 结 
果 。 为 了 避免 结果 的 偏差 ， 就 要 避免 取 时 钟 中 断 内 的 事例 。 


下 面 就 是 用 MD5 (参见 18.5 节 〉 作为 散 列 函数 的 C 程 序 : 


char Randpool [16]; 


/* Call early and call often on a wide variety of random or semi- 
* random system events to churn the randomness pool. 
* The exact format and length of randevent doesn’t matter as long as 
* its contents are at least somewhat unpredictable. 
* 
/ 
void churnrand(char *randevent,unsigned int randlen) 
{ 
MD5 CTX md5; 
MD5Init (&md5) ; 
MD5Update (&md5,Randpool, sizeof (Randpool) ) ; 
MD5Update (&md5, randevent, randlen) ; 
MD5Final (Randpool, &md5) ; 


在 调用 了 chumrand () 后 可 以 建立 Randpool 中 的 随机 性 ， 现 在 可 以 
从 中 产生 随机 位 。 再 次 使 用 MD5， 这 次 它 是 作为 计数 器 模式 的 伪 随 机 字 
“FP ACE BB 


long Randcnt; 
void genrand(char *buf,unsigned int buflen) 


{ 


MD5_ CTX md5; 


char tmp[16]; 
unsigned int n; 


while(buflen != 0) { 
/* Hash the pool with a counter */ 
MD5Init (&md5) ; 
MD5Update (&md5,Randpool, sizeof (Randpool) ) ; 
MD5Update (&md5, (unsigned char *) &Randcnt,sizeof (Randcnt) ) ; 
MD5Final (tmp, &md5) ; 
Randcnt++; /* Increment counter */ 


/* Copy 16 bytes or requested amount, whichever is less, 
* to the user's buffer */ 


n = (buftlen < 16) ? butlen x 16; 
memcpy (buf, tmp,n) ; 
buf += n; 


buflen -= n; 





散 列 函数 至 关 重 要 的 原因 有 几 个 。 首 先 ， 它 提供 了 一 个 简单 的 方法 
产生 任意 数量 的 伪 随 机 数据 而 不 必 每 次 都 调用 churnrand O 。 这 样 一 
来 ， 系 统 从 完美 性 退化 到 实用 的 随机 性 ， 从 而 达到 了 和 要求 。 在 这 种 情况 
下 ， 使 用 genrand O 的 结果 来 确定 以 前 或 以 后 的 结果 仪 是 理论 上 可 能 
的 。 但 这 需要 逆 的 MD5， 而 这 在 计算 上 是 不 可 行 的 。 











这 是 很 重要 的 ， 因 为 程序 不 知道 调用 者 怎样 处 理 返 回 的 随机 数据 。 
一 个 调用 可 能 为 东 个 以 明文 形式 发 送 的 协议 产生 随机 数 ， 这 也 许 与 攻击 
者 的 直接 询问 相对 应 。 接 下 来 的 调用 可 能 给 破译 者 正 打算 渗透 的 非 相 关 
的 会 议 产生 一 个 秘密 密 钥 。 显 然 ， 破 译 者 不 能 及 时 推出 秘密 密 钥 是 很 重 


要 的 。 














剩 下 一 个 问题 。 在 第 一 次 调用 genrand〈) 前 ，Randpool [」] 数 组 必 
须 具 有 足够 的 随机 性 。 如 采 系 统 已 经 通过 当前 用 户 厂 击 键盘 运行 了 一 会 
儿 ， 就 没有 问题 。 但 是 ， 一 个 看 不 到 任何 键盘 和 鼠标 输入 的 目 动 启 动 的 
独立 系统 怎么 办 ? 








这 是 一 个 棘手 的 问题 。 部 分 解决 办 法 就 是 每 次 月 动 前 都 需要 操作 员 
侣 击 键盘 一 会 儿 ， 并 在 系统 关闭 前 在 磁盘 上 创建 一 个 种 子 文件 来 实现 局 
动 Randseed [] 的 随机 性 。 但 不 要 直接 保存 Randseed [] 数组 。 一 个 偷 
到 这 个 文件 的 破译 者 可 以 确定 在 最 后 一 次 调用 churnrand〈) 之 后 及 创建 
这 个 文件 之 前 的 来 目 genrand〈) 的 所 有 的 结 











这 个 问题 的 修正 就 是 在 保存 之 前 对 Randseed [] 数组 进行 散 列 运 
算 ， 这 也 许 只 调用 genrand〈) 。 当 系统 司 动 时 ， 读 出 这 个 种 子 文件 ， 
将 它 传 到 churnrand〈) ， 然 后 迅速 地 删除 它 。 不 笠 的 是 ， 这 并 不 能 消除 
东 些 人 在 局 动 间 偷 取 种 子 文 件 并 用 它 来 猜测 genrand O 函数 的 下 一 个 
值 。 我 看 除了 在 局 动 后 和 允许 调用 genrand〈) 产生 结果 之 前 ， 等 竺 足 
够 多 的 外 部 随机 事件 发 生 外 ， 没 有 其 他 解决 办 法 了 。 
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的 散 列 值 h: 


h=H (M) 
其 中 h 的 长 度 为 m。 


输入 为 任意 长 度 且 输出 为 固定 长 度 的 函数 有 很 多 种 ， 但 单 同 散 列 函 
数 还 具有 使 其 单 同 有 如 下 特性 : 


.给 定 M， 很 容易 计算 h。 


给 定 h， 根 据 H CM) =h 计 算 M 很 难 。 





.给 定 M， 要 找到 另 一 消息 M' 并 满足 H (M) =H M’) 很 难 。 


如 果 Mallory 能 做 到 这 几 点 ， 那 么 它 将 破坏 所 有 利用 单 向 散 列 函数 
各 种 协议 的 安全 性 。 单 向 散 列 函数 的 重要 之 处 就 是 赋予 M 唯 一 的 “ 指 
纹 ”。 如 果 Alice 用 数字 签名 算法 H (M) 来 对 M 进 行 签名 ， 而 Bob 能 产生 
WEH (M) =H M) 的 另 一 信息 M'， 那 么 Bob 就 可 声称 Alie 对 M' 签 名 





在 茶 些 应 用 中 ， 仅 有 单 回 性 是 不 够 的 ， 还 需要 称 为 抗 他 撞 


(collision-resistance) 的 条 件 。 


要 找 出 两 个 随机 消息 M 和 M'， 使 H (M) =H (M') 成 立 很 难 。 








是 否 还 记得 7.4 节 的 生日 攻击 ? 并 不 是 找 出 另 一 消息 M' 来 满足 
H M) =H (M’) 而 是 找 出 两 个 消息 M 和 M' 来 满足 H (M) =H (M 
ae 


下 面 的 协议 ， 最 先 由 Gideon Yuval 描 述 (15! ， 如 果 前 面 的 条 件 不 
成 六，Alice 能 够 利用 生日 攻击 欺骗 Bob。 


(1) Alice 准 备 一 份 合同 的 两 种 版 本 ， 一 种 对 Bob 有 利 ， 而 为 一 种 
将 使 他 破产 。 


(2) Alice 对 这 两 种 版 本 的 每 一 份 都 做 一 些 细微 的 改变 ， 并 分 别 计 
算 其 散 列 值 ( 这 些 可 能 的 改变 是 : 用 空格 - 退 格 -空格 代 蔡 空格 、 在 回 车 
前 放 一 两 个 空格 等 。 通 过 在 32 行 中 分 别 做 或 不 做 改变 ，Alice 能 容易 地 产 
生 2 种 不 同 的 文件 ) 。 





(3) Alice 比 较 这 两 种 不 同 版 本 文件 的 散 列 值 集合 ， 找 出 相 匹配 的 
一 组 〈 如 果 散 列 函 数 仅 输出 64 位 值 ， 那 么 通常 她 从 每 个 文件 的 23 种 形 
式 中 就 能 找到 匹配 的 一 对 ) 。 她 重新 构造 这 两 份 散 列 值 相同 的 文件 。 


(4) Alice 使 用 Bob 只 能 对 该 散 列 值 签名 的 协议 ， 要 求 他 对 有 利于 
他 的 那 份 合同 版 本 签名 。 





(5) 在 以 后 的 某 个 时 候 ，Alice 用 Bob 未 签名 的 合同 代 亚 他 签 过 名 
的 合同 。 现 在 她 能 使 公证 人 员 确 信 Bob 签 闭 过 为 一 份 合同 。 


这 是 一 个 严重 的 问题 在 你 签 获 过 的 文件 中 ， 道 德 准 则 总 是 被 美化 
Tiz 


其 他 相似 的 攻击 也 能 起 到 一 个 成 功 的 生日 攻击 所 起 的 作用 。 例 如 ， 
政 方 可 以 同 茶 个 自动 控制 系统 〈 可 能 是 在 一 个 卫星 上 ) 发 送 带 有 随机 签 
名 序列 的 随机 消 轧 串 。 最 后 ， 其 中 茶 一 随机 消 妃 将 是 一 个 具体 有 效 的 签 
名 。 而 政 方 并 不 清楚 哪 条 指令 将 起 作用 ， 但 如 果 他 们 唯一 的 目的 是 破坏 
卫星 系统 的 话 ， 就 可 以 这 样 做 。 





18.1.1 单 同 散 列 函数 的 长 度 





64 位 的 单 向 散 列 函数 对 付 生 日 攻击 显然 是 太 小 了 。 大 多 数 的 单 向 散 
列 函数 产生 128 位 的 散 列 值 。 这 迫使 试图 进行 生日 攻击 的 人 必须 对 2% 个 
随机 文件 进行 散 列 运算 才能 找到 散 列 值 相同 的 两 个 文件 ， 不 足以 维持 散 
列 函 数 的 安全 性 。NIST 在 其 安全 散 列 标准 “SHS〉 中 用 的 是 160 位 的 散 
列 值 。 这 使 生日 攻击 更 难 进行 ， 需 要 2 次 随机 散 列 运算 。 


生 的 值 比 散 列 函数 产生 的 值 更 长 ， 建 议 用 以 下 方法 : 
(1) 用 本 书 中 列 出 的 一 种 单 同 散 列 函数 产生 该 消息 的 散 列 值 。 
(2) 将 该 散 列 值 附 加 在 该 消 妃 后 面 。 
(3) 产生 消 轧 和 散 列 值 级 联 之 后 的 散 列 值 。 


(4) 将 第 (1) 步 产 生 的 散 列 值 与 第 〈3) 步 产生 的 散 列 值 级 联 而 
形成 一 个 更 大 的 散 列 值 。 


(5) 重复 第 (1) ~ G) 步 多 次 ， 直 到 获得 你 想 要 的 值 。 
里 然 该 方法 的 安全 性 没有 得 到 证 明 ， 但 许多 人 已 给 出 了 对 于 它 的 多 


种 严格 的 限制 “1262、859] 。 


18.1.2 Ala) AHI) PR ESR IK 





要 设计 一 个 接收 任意 长 度 输 入 的 函数 不 是 容易 的 事 ， 更 不 用 说 还 要 
单 向 。 在 实际 中 ， 单 向 散 列 函 数 建立 在 压缩 函数 (compression 
function〉 的 想法 上 。 给 定 一 长 度 为 m 的 输入 ， 单 向 函数 输出 长 为 np 的 散 
列 值 [1069、414] 。 压 缩 函 数 的 输入 是 消息 分 组 和 文本 前 一 个 分 组 的 输 
出 〈 见 图 18-1) 。 和 输出 是 到 该 点 的 所 有 分 组 的 散 列 ， 即 分 组 Mi 的 散 列 
为 : 





单 癌 函数 h; 


图 18-1 单 向 函数 
h; =f (M; ? hi ) 
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最 后 一 个 分 组 的 散 列 就 成 为 整个 消 妃 的 散 列 。 





散 列 的 信息 应 该 包含 整个 消息 长 度 的 某 种 二 进 制 表示 。 这 种 方法 能 
消除 由 不 同 长 度 消 息 可 能 会 具有 相同 散 列 值 所 于 来 的 潜在 安全 问题 
(1069. 414] ， 这 种 技术 有 时 称 为 增强 的 MD (MD-strengthening) 


[930] | 


许多 研究 者 已 经 提出 ， 如 果 压 缩 函 数 是 安全 的 ， 那 么 用 它 散 列 任意 
长 度 的 消息 也 是 安全 的 【1138、1070、414」 。 该 结论 还 有 待 证 明 。 


单 问 散 列 函数 的 设计 我 们 已 讨论 了 很 多 。 要 获得 更 详细 的 数学 信 
息 ， 参 见 文献 [1028、793、791、1138、1069、414、91、858、 
1264] > Bart Preneel 的 理论 [1262」 可 能 是 关于 单 向 散 列 函数 最 详细 的 


描述 


18.2 ”Snefru 算 法 


Snefru 是 Ralph Merlde 设 计 的 一 种 单 向 散 列 函 数 “1070」 〈Snefru 正 
如 Khufu 和 Khafre， 是 一 个 埃及 法 老 的 名 字 ) ， 它 将 任意 长 度 的 消息 散 
列 成 128 或 256 位 的 值 。 


首先 将 消息 分 成 长 为 512m 的 分 组 (m 是 散 列 值 的 长 度 ) 。 若 输出 是 
128 位 散 列 值 ， 则 每 个 分 组 为 384 位 长 ， 寿 输出 是 256 位 散 列 值 ， 则 每 个 
分 组 为 256 位 长 。 


算法 的 核心 是 函数 H， 它 将 512 位 值 散 列 成 m 位 值 。H 输 出 的 前 m 位 
是 这 个 分 组 的 散 列 ， 余 下 的 丢弃 。 下 一 个 分 组 附 在 上 一 个 分 组 散 列 的 后 
面 ， 然 后 又 进行 散 列 《初始 分 组 附 在 一 串 零 后 ) 。 在 最 后 一 个 分 组 散 列 
之 后 《如 果 消 息 不 是 分 组 的 整 倍 长 ， 束 用 零 填 充 最 后 一 个 分 组 ) ， 将 最 
先 的 m 位 附 在 消息 长 度 的 二 进 制 表示 之 后 并 进行 最 后 一 次 散 列 。 





函数 HH 基于 男 一 个 作用 于 512 位 分 组 的 可 逆 分 组 密码 函数 E。H 是 EE 输 
出 的 最 后 m 位 与 E 输 入 的 最 先 m 位 相 开 或 的 结果 。 


Snefru 的 安全 性 取决 于 函数 E， 它 用 多 轮 运算 使 数据 随机 化 。 每 轮 
由 64 个 随机 化 的 子 轮 组 成 。 在 每 个 子 轮 中 用 不 同 的 字 市 作为 S 盒 的 输 
入 ，5 盒 输出 的 一 个 字 与 消息 相 邻 的 两 个 字 相 和 异 或 。5 盒 的 构造 方式 与 





Khafre 中 的 相似 (参见 13.7 节 )〉 ， 同 时 还 加 入 一 些 循 环 移 位 。 最 初 的 
Snefru 设 计 为 两 轮 。 


Snefru 的 密码 分 析 


Biham 和 Shamir 利 用 差分 密码 分 析 证 明了 两 轮 Snefru(128 位 散 列 
值 ) 是 不 安全 的 “17?」 。 在 数 分 钟 内 ， 他 们 找到 了 能 散 列 到 相同 值 的 一 
对 消息 。 


对 4 轮 或 更 少 轮 的 128 位 的 Snefru， 能 够 找到 比 穷 举 攻击 更 好 的 方 
法 。 对 Snefru 的 生日 攻击 需要 2%“ 次 运算 ， 而 差分 密码 分 析 用 2 所 2” 次 运 
算 能 找到 3 轮 Snefru 具 有 相同 散 列 值 的 一 对 消息 ，4 轮 Snefru 为 245 次 运 
算 。 用 穷 举 攻击 寻找 一 给 定 散 列 值 的 消息 需要 21?8 次 运算 ， 差 分 密码 分 


析 对 3 轮 Snefru 需 要 23 次 运算 ， 对 4 轮 Snefru 需 要 288 次 运算 。 





尽管 Biham 和 Shamir 没 有 分 析 256 位 散 列 值 ， 但 他 们 已 将 分 析 扩 展 至 
224 位 。 对 于 两 轮 Snefru 和 需要 211? 次 运算 的 生日 攻击 比较 ， 他 们 仅 需 要 
2125 次 运算 就 找到 了 具有 相同 值 的 消息 ， 而 3 轮 Snefru 只 要 233 次 运算 ， 


对 4 轮 Snefru 也 只 要 281 次 运算 。 


最 近 ，Merkle 建 议 使 用 至 少 8 轮 的 Snefru (1973) ， 但 是 如 此 多 轮 的 
算法 比 MD5 或 SHA 要 慢 很 多 。 


18.3 N-Hash 算 法 


N-Hash 是 由 日 本 电话 电报 公司 的 研究 人 员 发 明 的 ， 他 们 曾 于 1990 年 
发 明了 FEAL [105、1106」 。N-Hash 使 用 128 位 消息 分 组 和 一 个 与 FEAL 
类 似 的 复杂 随机 函数 ， 产 生 128 位 散 列 值 。 


每 个 128 位 分 组 的 散 列 是 这 个 分 组 和 上 一 个 分 组 散 列 的 函数 : 


H,=I1 了 工 是 一 个 随机 初始 值 
H;= SCAMi H) 中 M, 中 H n 





整个 消 妃 的 散 列 是 最 后 一 个 消息 分 组 的 散 列 。 随 机 初始 值 I 可 以 是 
用 户 设置 的 任意 值 〈 其 至 为 全 零 ) 。 





g 是 一 个 复杂 函数 。 图 18-2 是 算法 的 概貌 。 初 始 化 时 ， 上 一 个 消息 
分 组 Hi 的 128 位 散 列 的 64 位 左 半 部 分 和 64 位 右 半 部 分 交换 ， 然 后 与 
1010...1010《〈128 位 ) HERI gore, FES AIA SoZ, 相 异 或 。 
值 级 联 进入 N (图 中 N=8) 轮 处 理 。 轮 处 理 的 另 一 输入 是 上 一 个 分 组 散 
列 值 与 8 个 二 进 制 常数 值 之 一 的 异 或 结果 。 





图 18-3 给 出 了 一 个 轮 处 理 。 消 恩 分 组 分 成 4 个 32 位 值 ， 前 一 个 散 列 
值 也 被 分 成 4 个 32 位 值 。 图 18-4 给 出 了 函数 f。 函 数 So。 和 Si 与 在 FEAL 中 


EXG: 交换 左 半 部 分 和 右 半 部 分 R 
v: 1010…1010 二 进 制 (128 位 ) oe » [ ! 
EXG 
PS: 轮 处 理 XDD 
y=AIA ,IISIIA IIIA lll h 
Cll: 级 联 ) D 
ô: 000…0 二 进 制 (24 位 ) ca 
WW 
(3 
Ay=4x (j-1) +k (k=1,2,3,4,4 4: 8 位 长 ) A 
WY 


H=g(M,,M,.,) ® (MOM. 1) 


H, 


i-l 


128 位 128 位 


图 18-2”N-Hash 框 图 


X X, 输入 : X=X XIX ILY, X X, 
gi R P=PlIPIPIP, i m 





输入 : 天 YI 
2 Y=PS (X,P) L Y, 


图 18-3”N-Hash 的 一 个 轮 处 理 





Y=S, (X,.X,) =Rot2 ((X,,X,) mod 256) 
Y=S, (X,,X,) =Rot2 ((X,+X,+1) mod 256) 
Y(8 位 ) : 输出 ,Xi/X (8 位 ): 输入 
Rot2(T): 8 位 数据 7 回 左 环 移 2 位 


图 18-4 ”函数 f 
Sy (a; b) = ( (a+b) mod 256) 向 左 环 移 二 位 。 


S, (a, b) = ( Catb+1) mod256) 向 左 环 移 二 位 。 


轮 处 理 的 输出 变 成 下 一 轮 处 理 的 输入 。 在 前 一 轮 处 理 后 ， 输 出 与 Mi 
MH 相 异 或 ， 然 后 下 一 个 分 组 准备 散 列 。 


N-Hash 的 密码 分 析 


Bert den Boer 发 现 了 一 种 在 N-Hash 轮 函数 中 产生 碰撞 的 方法 “1262] 
。Biham 和 Shamir 用 差分 密码 分 析 破 解 了 6 轮 N-Hash L169% 1721 。 他 们 这 
种 特殊 的 攻击 法 (肯定 还 有 其 他 的 方法 ) 对 被 3 整除 的 N 能 起 作用 ， 对 
小 于 15 的 N 比 生日 攻击 更 有 效 。 


同样 的 攻击 对 12 轮 N-Hash 需 用 2” 次 运算 能 找到 具有 相同 散 列 值 的 
消息 ， 而 穷 举 攻击 需要 284 次 运算 。15- 轮 N-Hash 对 差分 密码 分 析 是 安全 


的 :攻击 需要 2” 次 运算 。 


算法 的 设计 者 建议 使 用 至 少 8 轮 的 N-Hash [1106] 。 鉴 于 已 证 明 N- 
Hash 和 FEAL 是 不 安全 的 ， 我 建议 用 男 一 种 全 新 的 算法 。 


18.4 MD4 算 法 


MD4 是 Ron Rivest 设 计 的 单 向 散 列 函数 [1318、1319、1321」 。MD 表 示 
消息 摘要 (Message Digest) 。 对 输入 消 恕 ， 算 法 产生 128 位 散 列 值 (或 
消息 摘要 ) 。 





在 文献 [1319] 中 ，Rivest 概 括 了 该 算法 的 设计 目标 : 


安全 性 。 找 到 两 个 具有 相同 散 列 值 的 消息 在 计算 上 是 不 可 行 的 ， 
不 存在 比 穷 举 攻 击 更 有 效 的 攻击 。 


直接 安全 性 。MD4 的 安全 性 不 基于 任何 假设 ， 如 因子 分 解 的 难 
Eo 


速度 。MD4 适 用 于 高 速 软件 实现 ， 基 于 32 位 运算 数 的 一 些 简单 位 


fa] ALPE AR STE 。MD4 尽 可 能 简单 ， 没 有 大 的 数据 结构 和 复杂 的 
程序 。 


.有 利 的 Little-Endian 结 构 。MD4 最 适合 微 处 理 器 结构 (特别 是 Intel 
WARTE) ， 更 大 型 速度 更 快 的 计算 机 要 做 必要 的 转换 。 





该 算法 首次 公布 之 后 ，Bert den Boer 和 Antoon Rosselaers 对 算法 3 轮 


中 的 后 两 轮 进行 了 成 功 的 密码 分 析 上 202」 。 在 一 个 不 相关 的 分 析 结 

中 ，Palph Merkle 成 功 地 攻击 了 前 两 轮 (°°?! 。Eli Biham 讨 论 了 对 MD4 
前 两 轮 进行 差分 密码 攻击 的 可 能 性 “1594 。 尽 管 这 些 攻击 都 没有 扩展 到 
整个 算法 ， 但 Rivest 还 是 改进 了 其 算法 ， 结 果 就 是 MD5 算 法 。 


18.5 MD5 算 法 


MD5 是 MD4 的 改进 版 [1386、1322」 ， 它 比 MD4 更 复杂 ， 但 设计 思想 


相似 ， 并 且 也 产生 128 位 散 列 值 。 
18.5.1 MD5 的 描述 


在 一 些 初始 化 处 理 之 后 ，MD5 以 512 位 分 组 来 处 理 输入 文本 ， 每 个 
分 组 又 划分 为 16 个 32 位 子 分 组 。 算 法 的 输出 由 4 个 32 位 分 组 组 成 ， 将 它 
们 级 联 形 成 一 个 128 位 散 列 值 。 


首先 填充 消息 使 其 长 度 恰好 为 一 个 比 512 的 倍数 仅 小 64 位 的 数 。 需 
充 方法 是 附加 一 个 1 在 消息 后 面 ， 后 接 所 要 求 的 多 个 0， 然 后 在 其 后 附加 
上 64 位 的 消 妃 长 度 《〈 盾 充 前 ) 。 这 两 步 的 作用 是 使 消 妃 长 度 恰 好 是 512 
位 的 整数 倍 ( 算 法 的 其 余部 分 要 求 如 此 ) ， 同 时 确保 不 同 的 消息 在 填充 
后 不 相同 。 








4 个 32 位 变量 初始 化 为 : 


A=0x01234567 


B=O0x89abcdef 


C=Oxfedcba98 
D=0x76543210 


它们 称 为 链接 变量 (chaining variable) 。 





接着 进行 算法 的 主 循环 ， 循 环 的 次 数 是 消 轧 中 512 位 消息 分 组 的 数 


将 上 面 4 个 变量 复制 到 另外 的 变量 中 : A 到 a、B 到 b、C 到 c、D 到 d。 


主 循环 有 4 轮 (MD4 只 有 3 轮 ) ， 每 轮 很 相似 。 每 一 轮 进行 16 次 运 
算 。 每 次 运算 对 a、b、c 和 d 中 的 其 中 3 个 做 一 次 非 线 性 函数 运算 ， 然 后 
将 所 得 结果 加 上 第 4 个 变量 、 文 本 的 一 个 子 分 组 和 一 个 常数 。 再 将 所 得 
结果 向 右 环 移 一 个 不 定 的 数 ， 并 加 上 a、b、c 或 d 中 之 一 。 最 后 用 该 结果 
取代 a、b、c 或 d 中 之 一 。 见 图 18-5 和 图 18-6。 
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图 18-5 MD5 主 循环 








AP ZG PE PK% 





图 18-6 MD5 的 一 个 执行 过 程 





以 下 是 每 次 运算 中 用 到 的 4 个 非 线 性 函数 每 轮 一 个 )。 


FPCX,Y,Z) = (A AY) V (OX) A Z) 
G(X,Y,Z) =(X A ZV Y A (m2Z)) 
H(X,Y,2)=X@OYOZ 
I(X,Y,Z)=Y W(XYV (7Z)) 


《 甲 是 异 或 、 人 是 与 、V 是 或 、 1 是 反 。) 








这 些 函 数 是 这 样 设 计 的 : 如 果 X、Y 和 2Z 的 对 应 位 是 独立 和 均匀 的 ， 
那么 结果 的 每 一 位 也 应 该 是 独立 和 均匀 的 。 函 数 F 是 按 逐 位 方式 运算 : 


如 果 X， 那 么 Y， 和 否则 Z。 函 数 H 是 逐 位 奇偶 操作 符 。 











WM, 表示 消息 的 第 j 个 子 分 组 〈j 从 0 一 15) ，<<< 表 示 循 环 左 移 s 


FF (a, b, c, d, M; 


jo © t) 表示 a=b+ ( (at (F (b, c, d) 


+Mj +t; ) <<<s) 


GG (a, b, c, d, Mjo s ti) 表示 a=b+ ( (a+ (G (b, c d) 


+M, +t, ) <<<S ) 


HH (a, b, œ d, Mj; s t) 表示 a=b+ ( Cat (H (b, c d) 


+Mj +t ) <<<s) 


II (a, b, c, d, M 


jo ©” t) 表示 a=b+ ( Cat (I (b, c, d) +M; 


+ti ) <<<s) 


这 4 轮 (647) 是 : 


FF (a, b, c, d, My, 7, 0xd76aa478) 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


FF 


Cd, 


Cc, 


(b, 


(a, 


(d, 


(c, 


(b, 


(a, 


(d, 


Cc, 


(b, 


(a, 


(d, 


(c, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


M; ; 12, Oxe8c7b756) 
M,, 17, 0x242070db) 
M3, 22, Oxclbdceee) 
M4 7, Oxf57cOfaf) 

Ms 12, 0x4787c62a) 
M6 17, 0xa8304613 ) 
M; 22, Oxfd469501) 
Me , 7, 0x698098d8) 
Mg, 12, Ox8b44f7af) 
Mio» 17, OxffffSbb1) 
MI11 22, Ox895cd7be ) 
M+ 7, Ox6b901122) 
M,3> 12, Oxfd987193) 


M4» 17, 0xa679438e ) 


FF (b, 


A — 


第 二 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


GG 


轮 


(a, 


(d, 


(c, 


(b, 


Ca, 


(d, 


(c, 


(b, 


(a, 


(d, 


(c, 


(b, 


C; 


d» 


C; 


d» 


C; 


d» 


d, 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


a, Mis, 22, 0x49b40821) 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


M; ，5，0xf61e2562 ) 
Me , 9, 0xc040b340) 
MI11 14, 0x265e5a51 ) 
Mọ > 20, Oxe9b6c7aa ) 
M,, 5, Oxd62f105d) 
Mi 9, 0x02441453) 
Mis, 14, Oxd8ale681 ) 
M4 20, Oxe7d3fbc8 ) 
Mo, 5, Ox21elcde6) 
MI14 9, 0xc33707d6 ) 
M3, 14, Oxf4d50d87) 


Mg 20, 0x455a14ed) 


GG 


GG 


GG 


GG 


AAA 


5. 


HH 


HH 


HH 


HH 


HH 


HH 


HH 


HH 


HH 


Cas 


Cd, 


Ces 


(b, 


兰花 


(a, 


(d, 


(c, 


(b, 


(a, 


(d, 


Cc, 


(b, 


Ca, 


d» 


C; 


d» 


C; 


d» 


C; 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


C; 


b, 


d» 


d, 


M;3> 5, 0xa9e3e905) 


M,, 9, Oxfcefa3f8) 


M,, 14, 0x676f02d9) 


My» 20, Ox8d2a4c8a ) 


Ms 4, Oxfffa3942 ) 


Mg 11, 0x8771f681) 


M,,> 16, Ox6d9d6122) 


MI14 23, Oxfde5380c ) 


M; > 4, Oxa4beea44 ) 


M4 11, Ox4bdecfa9 ) 


M,, 16, Oxf6bb4b60) 


Mj 9» 23, Oxbebfbc70 ) 


M3,» 4, 0x289b7ec6) 


HH (d, a, b, c, My, 11, Oxeaal27fa) 
HH (c, d, a, b, M3, 16, Oxd4ef3085 ) 
HH (b, c, d, a, Mg, 23, 0x04881d05 ) 
HH (a, b, c, d, My; 4, Oxd9d4d039 ) 
HH (d, a, b, c, My, 11, Oxe6db99e5 ) 
HH (c, d, a, b, Mis, 16, Ox1fa27cf8 ) 
HH (b, c, d, a, M), 23, Oxc4ac5665 ) 
第 四 轮 

I (a, b, c, d, My» 6, Oxf4292244) 

II (d, a, b, c, Mz, 10, 0x432aff97 ) 
II (c, d, a, b, My, 15, Oxab9423a7 ) 
II (b, c, d, a, Mz, 21, Oxfc93a039 ) 
II (a, b, c, d, My, 6, 0x655b59c3 ) 


II (d, a, b, c, M}, 10, Ox8f0ccc92 ) 


II Cc, d; a, b 


-> 


M1io, 15, Oxffeff47d) 


II (b, c d, a, M}; 21, 0x85845dd1 ) 


-> 


II (a, b, c, d, Mg, 6, Ox6fa87e4f) 


II (d, a, b, c, Mis, 10, Oxfe2ce6e0 ) 


-> 


II Cc, d, a, b 


-> 


Me, 15, 0xa3014314) 


Il (b, cy d, a, Mi3s, 21, 0x4e0811a1 ) 


-> 


II (a, b, c, d, My, 6, 0xf7537e82) 


II (d, a, b, c, M,,,> 10, Oxbd3af235 ) 
II (c, d, a, b, My, 15, Ox2ad7d2bb ) 
II (b, c d, a, Mg, 21, Oxeb86d391 ) 
常数 t 可 以 如 下 选择 : 


在 第 i 步 中 ，t; 23 xabs (sin G) 的 整数 部 分 ，i 的 单位 是 弧度 。 


所 有 这 些 完 成 之 后 ， 将 A、B、C、D 分 别 加 上 a、b、c、d。 然 后 用 
下 一 个 分 组 数据 继续 运行 算法 ， 基 后 的 输出 是 A、B、C 和 D 的 级 联 。 


18.5.2 MD5 的 安全 性 


Ron Rivest 概 述 了 MD5 相 对 MD4 所 做 的 改进 [1322」 : 
(1) 增加 了 第 四 轮 。 
(2) 每 一 步 均 有 了 唯一 的 加 法 常数 。 


(3) 为 减弱 第 二 轮 中 函数 G 的 对 称 性 从 € XAY) V CXAZ) 
V (YVZ) ) 变 为 ((XAZ) V (YA 人 17Z) ) 。 


(4) 每 一 步 加 上 了 上 一 步 的 结果 ， 这 将 引起 更 快 的 雪 骨 效应 。 


(5) 改变 了 第 二 轮 和 第 三 轮 中 访问 消息 子 分 组 的 次 序 ， 使 其 形式 
更 不 相似 。 





C6) 近似 优化 了 每 一 轮 中 的 循环 左 移 位 移 量 以 实现 更 快 的 雪 衣 效 
应 。 各 轮 的 位 移 量 互 不 相同 。 


Tom Berson 试 图 用 差分 密码 分 析 攻 击 MD5 的 单 轮 [144 ， 但 此 攻 
击 还 远 未 达到 对 全 部 四 轮 都 有 效 的 程度 。 相 比 之 下 ，Bert den Boer 和 
Antoon Bosselaers 的 攻击 要 成 功 得 多 ， 他 们 使 用 MD5 中 的 压缩 函数 产生 
碰撞 (209. 1331, 1336」 。 但 这 并 不 能 对 实际 应 用 中 的 MD5 进 行 攻击 ， 也 

“影响 Lu-by-Rackoff-like 加 密 算法 中 MD5 的 使 用 《参见 14.11 节 ) 。 同 时 
这 也 没有 违背 MD5 的 基本 设计 原则 之 一 一 一 设计 一 个 无 碰撞 的 压缩 函 


Blo REA MUI SEA BRA PSS EEX A] PBR 
全 性 的 实际 应 用 没有 丝毫 的 影响 “1336」 ”， 我 还 是 小 心地 使 用 MD5。 








18.6 MD? 算法 


MD2 是 Ron Rivet 设 计 的 另 一 个 单 向 散 列 函数 -801 133] ， 它 与 
MD5 一 起 用 于 PEM 协 议 中 (参见 24.10 节 )〉 。 它 的 安全 性 依赖 于 字 节 间 
的 随机 置换 。 置 换 过 程 是 固定 的 并 依赖 于 数字 n。So，S1 ，S2，.……， 
Soss 是 置换 操作 。 对 消息 M 进 行 散 列 运算 : 





C1) 用 值 为 的 字 市 对 消息 进行 填充 使 填充 后 的 消息 长 度 为 16 字 市 
的 整数 倍 。 


(2) 将 16 字 节 的 校 验 和 附加 到 消 恕 中 。 


(3) 初始 化 48 字 节 的 分 组 : Xo ，X1 ，X, ，...，X4z 。 将 X 的 前 16 
字 节 置 为 0， 第 二 个 16 字 节 对 应 消息 的 前 16 字 节 ， 第 三 个 16 字 节 与 X 的 


前 16 字 节 及 第 二 个 16 字 节 相 异 或 。 





(4) 压缩 函数 为 : 
t=0 
对 于 j=0 人 至 17 


对 于 k=0 至 47 


t=X, XOR S, 


Xl =t 


t= (t+j) mod 256 


(5) 将 消息 的 第 二 个 16 字 节 置 为 X 的 第 二 个 16 字 节 ，X 的 第 三 个 16 
字 节 是 XX 的 第 一 个 16 字 节 和 X 的 第 二 个 16 字 节 的 异 或 。 重 复 第 (4) 步 。 
消息 的 每 16 字 节 重 复 执行 第 (5) 和 第 (4) 步 














(6) 输出 X 的 第 一 个 16 字 节 。 尽 管 没 有 发 现 MD2 的 弱点 [1262」 ， 
但 它 比 其 他 建议 的 大 多 数 散 列 函数 慢 很 多 。 


18.7 ”安全 散 列 算法 


NISI 和 NSA 一 道 设 计 了 与 DSS 一 起 使 用 的 安全 散 列 算法 (SHA) 
[1154] (参见 20.2 节 ) 《标准 是 安全 散 列 标准 (SHS) ，SHA 是 用 于 标 
准 的 算法 ) 。 


fi (Federal Register) [539」 , 


建议 提出 一 种 安全 散 列 标准 〈SHS) 的 联邦 信息 处 理 标 准 
(FIPS) ， 该 标准 规定 了 一 种 与 用 数字 签名 标准 一 起 使 用 的 安全 散 列 算 
法 (SHA) 。 妨 外 ， 对 于 不 需要 数字 签名 的 应 用 ，SHA 应 能 用 到 任何 需 
要 安全 散 列 算法 的 各 联邦 应 用 中 。 


同时 


本 标准 规定 一 种 保证 数字 签名 算法 (DSA) 安全 所 必需 的 安全 散 列 
算法 (SHA) 。 当 输入 是 长 度 小 于 264 位 的 消息 时 ，SHA 产 生 称 为 消息 
摘要 的 160 位 输出 ， 然 后 将 该 摘要 输入 到 用 于 计算 该 消息 签名 的 DSA 
中 。 对 消息 摘要 而 不 是 对 消息 进行 签名 通常 能 改善 处 理 效率 ， 因 为 消息 
摘要 通常 比 消息 小 很 多 。 接 收 到 已 输入 至 SHA 的 消息 版 本 后 ， 签 名 验证 
者 应 获得 同样 的 消息 摘要 ， 因 为 SHA 设计 无 论 从 给 定 的 消息 摘要 中 恢复 
相同 消息 ， 还 是 寻找 两 个 产生 相同 消息 摘要 的 消息 在 计算 上 均 是 不 可 行 

















的 ， 所 以 它 是 安全 的 。 传 输 中 因 消 息 的 任何 改变 而 产生 不 同 的 消息 摘要 
的 概率 非常 高 ， 从 而 使 签名 不 能 通过 验证 。SHA 基 于 的 原则 与 MIT 的 
Ronald L-Rivest 教 授 在 设计 MD4 消 息 摘要 算法 时 所 用 的 原理 相似 [1319] 
， 并 且 模 仿 了 该 算法 。 


SHA 产生 160 位 散 列 值 ， 比 MD5 长 。 


18.7.1 _ SHA 的 描述 





首先 将 消息 填充 为 512 位 的 整数 倍 。 填 充 方 法 与 MD5 完 全 一 样 : 先 
添加 一 个 1， 然 后 填充 尽量 多 的 0 使 其 长 度 为 512 的 倍数 刚好 减 去 64 位 ， 
最 后 64 位 表示 消息 填充 前 的 长 度 。 








5 个 32 位 变量 (MD5 仅 有 4 个 变量 ， 但 该 算法 却 要 产生 160 位 散 列 
值 ) 初始 化 为 : 


A=0x67452301 
B=Oxefcdab89 
C=0x98badcfe 
D=0x10325476 


E=O0xc3d2elf0 


然后 开始 算法 的 主 循 环 。 它 一 次 处 理 512 位 消息 ， 循 环 的 次 数 是 消 
恩 中 512 位 分 组 的 数目 。 


先 把 这 5 个 变量 复制 到 男 外 的 变量 中 : A 到 a、B 到 b、C 到 c、D 到 d、 
上 到 e。 


主 循环 有 4 轮 ， 每 轮 20 次 操作 (MDS 有 4 轮 ， 每 轮 16 次 操作 ) 。 每 次 
操作 对 a、b、c、d 和 e 中 的 3 个 进行 一 次 非 线性 运算 ， 然 后 进行 与 MD5 中 
类 似 的 移 位 运算 和 加 运算 。 


SHA 的 非 线 性 函数 集合 为 : 
f, (X，Y，Z) = (XAY) V CC 1X) AZ) 对 于 t=0 至 19 
f, (X, Y, Z) =X@Y@Z 对 于 t=20 至 39 


f, (X, Y» Z) = CKAY) V (KAD V CYAZ) WTE 


59 
fe (X, Y, Z) =X®Y@Z 对 于 t=60 至 79 
(@ 是 寞 或 、 ABS. VER. PER) 
该 算法 同样 用 了 4 个 常数 : 


K, =0x5a827999 ”对 于 t=0 人 于 19 


K, =0x6ed9ebal ”对 于 t=20 全 39 
K, =0x8flbbcdc 对 于 t=40 人 至 59 
Ki =0xca62c1d6 ”对 于 t60 全 79 


(这 些 数 来 自 : 0x5a827999 二 212 /4, OxGed9ebal = 3"? /4、 
0x8flbbcdc 二 512 /4, Oxca62c1d6=10"2 /4， 所 有 数 乘 以 232 。) 


用 下 面 的 算法 将 消息 分 组 从 16 个 32 位 字 (Mu 一 Mi。 ) 变 成 80 个 32 
位 字 (Wo 一 Woze ) : 


W,=M, 对 于 t=0 至 15 
Wi= (M's BMs BMi14 DMiag ) <<<1 对 于 t=16 至 79 


(如 果 感 兴趣 ， 原 始 的 SHA 中 没有 循环 左 移 。“ 修 改 标准 将 使 其 
全 性 比 预 想 的 安全 性 更 差 ” .533」 己 发 生变 化 。NSA 已 拒绝 详细 描述 缺 
KAZAA.) 


设 t 是 运算 序号 〈 从 0 一 79) ，M; 表示 扩展 后 消息 的 第 t 个 子 分 组 ， 
<<<s 表 示 循 环 左 移 位 ， 则 主 循环 如 下 所 示 : 


Xt Ft=0479 


TEMP= (a<<<5) +f, (b, c, d) +e+W, +K, 


e=d 


d=c 


c=b<<<30 


b=a 


a=TEMP 





图 18-7 给 出 了 SHA 的 一 次 运算 过 程 。 通 过 不 同 的 移 位 与 在 MD5 算 法 
中 不 同 阶段 采用 不 同 变量 相 比 ， 两 者 实现 了 同样 的 目的 。 





人 性 函数 





图 18-7 SHA 的 一 次 运算 


在 这 之 后 ，a、b、c、d 和 和 e 分 别 加 上 A、B、C、D 和 E， 然 后 用 下 一 


个 数据 分 组 继续 运行 算法 ， 最 后 的 输出 由 A、B、C、D 和 E 级 联 而 成 。 


18.7.2 SHA 的 安全 性 





SHA 与 MD4 非 常 相似 ， 但 它 有 160 位 散 列 值 。 主 要 的 改变 是 添加 了 
扩展 转换 ， 并 且 为 产生 更 快 的 雪 骨 效应 而 将 上 一 轮 的 输出 送 至 下 一 轮 。 
Ron Rivest 公 开 了 MD5 的 设计 思想 ， 但 SHA 的 设计 者 却 没 有 这 样 做 。 这 
里 给 出 Rivest 的 MD5 相 对 于 MD4 的 改进 ， 以 及 它们 与 SHA 的 比较 : 


(1) “增加 了 第 四 轮 ”，SHA 也 是 如 此 。 但 在 SHA 中 ， 第 四 轮 使 用 
了 与 第 二 轮 同样 的 { 函 数 。 


(2) “每 一 步 均 有 唯一 的 加 法 常数 "”，SHA 保 留 了 MD4 的 方案 ， 它 
FE 2046 wit E AS AE HH ae He ay AV 


(3) “为 减弱 第 二 轮 中 函数 G 的 对 称 性 ， 将 其 从 C CX AY) 
V (XAZ) V CYAZ) ) BHC RAZI V YATEZ) ja” 
SHA 采用 MD4 的 形式 (XAY) V (XAZ) V (YAZ) ) 。 


44)“ 每 一 步 加 上 了 上 一 步 的 结果 ， 这 将 引起 更 快 的 雪 骨 效应 ”。 
SHA 也 做 了 这 种 改变 。 不 同 的 是 ， 在 SHA 中 增加 了 第 五 个 变量 ， 不 是 f 
已 经 使 用 的 b、c 或 4。 这 个 精巧 的 变化 使 得 能 用 于 MD5 的 den Boer- 
Bosselaers 攻 击 对 SHA 不 起 作用 。 





45)“ 改 变 了 第 二 轮 和 第 三 轮 中 访问 消息 子 分 组 的 次 序 ， 使 其 形式 
更 不 相似 。”SHA 完 全 不 同 ， 因 它 采 用 循环 纠 错 编码 。 








(6)“ 近 似 优化 了 每 一 轮 中 的 循环 左 移 位 移 量 以 实现 更 快 的 雪崩 效 
应 ， 各 轮 的 位 移 量 互 不 相同 。”SHA 在 每 轮 中 采用 与 MD4 中 同样 的 一 个 


常数 位 移 量 ， 该 位 移 量 与 字 长 互 素 。 














以 上 结论 产生 了 如 下 的 等 式 : SHA=MD4+ 扩 展 转换 十 附加 轮 + 更 好 
的 雪崩 效 应 ; MD5 一 MD4+ 改 进 的 位 散 列 运算 + 附加 轮 + 更 好 的 雪崩 效 
应 。 


对 SHA 还 没有 已 知 的 密码 攻击 ， 并 且 由 于 它 产生 160 位 散 列 ， 所 以 
它 比 本 半 中 所 列 的 其 他 128 位 散 列 函数 更 能 有 效 抵 抗 穷 举 攻击 (包括 生 
日 攻击 ) 。 


18.8 ”RIPE-MD 算 法 


RIPE-MD 是 为 欧 共 体 的 RIPE 项 目 而 研制 的 “1305」 (参见 25.7 
节 ) 。 该 算法 是 MD4 的 一 种 变型 ， 用 以 抵抗 已 知 的 密码 攻击 ， 并 产生 
128 位 散 列 值 。 该 算法 改变 了 循环 移 位 和 消息 字 的 顺序 。 另 外 ， 访 算法 
仅 利 数 不 同 的 两 个 实例 是 并 行 运行 的 ， 每 个 分 组 之 后 ， 两 个 实例 的 输出 
都 加 上 链接 变量 。 这 样 一 来 ， 该 算法 能 更 有 效 抵抗 攻击 。 





18.9 HAVAL 算 法 


HAVAL 是 一 种 长 度 可 变 的 单 向 散 列 函 数 1646」， 它 是 MD5 的 改进 
版 本 。HAVAL 以 1024 位 分 组 处 理 消息 ， 是 MD5 的 两 倍 。 它 有 8 个 32 位 链 
接 变量 ， 也 是 MD5 的 两 倍 。 它 的 轮 数 可 在 3 一 5 中 变化 《每 轮 有 16 步 
并 且 它 能 产生 长 度 为 128、160、192、224 或 256 位 的 散 列 值 。 


HAVAL 用 高 非 线性 的 7 变量 函数 取代 了 MD5 的 简单 非 线性 函数 ， 且 
每 个 函数 均 能 满足 严格 雪崩 准 则 的 要 求 。 每 轮 使 用 单个 函数 ， 但 在 每 一 
步 对 输入 进行 了 不 同 的 置换 。 访 算法 有 一 个 新 的 消 有 息 次 序 ， 且 每 一 步 
(第 一 轮 除外 ) 使 用 了 不 同 的 加 法 和 常数。 该 算法 同样 有 两 种 环 移 方式 。 


该 算法 的 核心 是 : 


TEMP= (f Gi, A, B, C, D, E, F, G) <<<7) + 


(H<<<11) +M Li] Lr G) ] +K Gj) 


H=G,  G=F, FE, E=D, D=C, C=B, B=A， 


A=TEMP 





可 变 的 轮 数 和 可 变 的 输出 长 度 ， 意 味 着 该 算法 有 15 种 不 同 的 形式 。 
由 于 对 H 使 用 了 环 移 ， 所 以 Den Boer 和 Bosselaers 对 MD5 的 攻击 [203」 不 


适用 于 HAVAL。 


18.10 ”其 他 单 回 散 列 函数 


MD3 也 是 Ron Rivest 设 计 的 另 一 种 散 列 函数 。 它 有 几 个 缺陷 ， 故 从 
未 在 实验 室 之 外 运用 ， 关 于 它 更 进一步 的 描述 参见 [1335] 。 


滑铁卢 大 学 的 一 组 研究 人 员 提出 了 一 种 基于 GF (29 ) 中 的 迭代 指 
数 运 算 的 单 向 散 列 函数 e 。 该 方案 将 消息 分 为 593 位 分 组 ， 从 第 一 

个 分 组 开始 相继 对 这 些 分 组 做 指数 运算 ， 指 数 是 上 一 个 分 组 计算 的 结 
果 ， 第 一 个 指数 由 IV 给 出 。 








Ivan Damg rd 设计 了 一 种 基于 背包 问题 的 单 向 散 列 函数 “414] ， 
用 大 约 232 次 运算 就 能 破解 它 [290、1232、787] 。 


Steve Wolfram 的 细胞 自动 机 (108! 是 单 向 散 列 函数 的 基础 ， 该 方 
案 较 早 的 实现 M 是 不 安全 的 “1052、 404] 。Cellhash 单 向 散 列 函数 
[384、404] 及 其 改进 版 Subhash [384 402. 4051 均 是 基于 细胞 自动 机 的 ， 
并 且 它 们 都 是 面向 硬件 设计 的 。Boognish 混 合 了 Cellhash 和 MD4 的 设计 
原理 (402, 407] 。StepRightUp 也 可 作为 散 列 函 数 来 运行 [402」 。 





1991 年 夏季 ，Claus Schnorr 提 出 一 种 基于 离散 傅 里 叶 变 换 的 单 癌 散 
列 函 数 ， 称 为 FFT-Hash [1399」 ， 几 个 月 之 后 被 两 个 独立 的 小 组 破解 
(403. 84] 。Schnorr 又 提出 了 修改 版 FFT-HashILI (前 一 个 版 本 更 名 为 


FFT-Hash [149] ， 几 周 后 又 被 破解 了 L1567」 。Schnorr 提 出 了 更 进 一 
步 的 修改 版 本 ， 但 就 现实 情况 来 看 该 算法 比 本 章 中 其 余 算法 慢 很 多 。 另 
外 一 种 叫 SL, 的 【1526」 散 列 函数 是 不 安全 的 [315] 。 





另 一 些 有 关 由 单 向 函数 和 单 癌 置换 构造 单 同 散 列 函数 的 理论 研究 工 
作 参 见 文 献 [412、1138、1342] 。 





18.11 使 用 对 称 分 组 算法 的 单 向 散 列 函数 





可 以 把 对 称 分 组 密码 算法 用 作 单 癌 散 列 图 数 。 其 思想 是 ， 如 果 分 组 
算法 是 安全 的 ， 那 么 单 问 散 列 图 数 也 将 是 安全 的 。 


最 显而易见 的 方法 是 使 用 分 组 密码 算法 的 CBC 或 CFB 方 式 、 一 个 固 
定 的 密 钥 和 IV。 将 最 后 的 密 文 分 组 作为 散 列 值 。 这 些 方 法 在 使 用 DES 的 
各 种 标准 中 也 有 描述 : 文献 [1143] 中 的 两 种 模式 、 文 献 [1145] 中 的 
CFB、[55、56、54] 中 的 CBC。 以 上 方法 作为 单 向 散 列 函数 并 不 是 太 
理想 ， 尽 管 它 用 作 MAC (参见 18.14 节 ) (29! 。 


更 好 的 方法 是 用 消息 分 组 作为 密 钥 ， 上 一 个 散 列 值 作 为 输入 ， 当 前 
散 列 值 作为 输出 。 


实际 中 提出 的 散 列 函数 更 为 复杂 。 分 组 长 度 通 常 等 于 密 钥 长 度 ， 散 
列 值 的 长 度 等 于 分 组 长 度 。 由 于 大 多 数 分 组 算法 是 64 位 的 ， 所 以 已 有 几 
种 方案 的 散 列 值 为 分 组 长 度 的 两 僧 。 





假设 散 列 函数 是 正确 的 ， 那 么 方案 的 安全 性 就 建立 在 基本 分 组 函数 
的 安全 性 上 。 但 也 有 例外 。 差 分 分 析 法 攻击 散 列 函数 内 的 分 组 函数 束 比 
攻击 单独 以 加 密 方 式 出 现 的 分 组 函数 容易 : 密 钥 可 知 ， 所 以 可 以 采用 多 
种 攻击 手段 ， 成 功 仅 需 要 一 个 正确 对 ， 可 以 生成 需要 的 足够 多 的 选择 明 


文 。 相关 的 工作 参见 文献 [1263、858、1313 ] 


下 面 是 文献 L925, 1465, 1262] 中 各 种 散 列 函数 的 简介 。 关 于 对 
这 些 方案 的 攻击 ， 假 定 其 分 组 算法 是 安全 的 。 就 是 次， 对 其 最 好 的 攻击 
FE FABLE 

建立 在 分 组 密码 机 制 上 的 散 列 函数 的 一 个 很 实用 的 测试 手段 是 散 列 
x Chashrate) ， 或 n 位 消息 分 组 的 数目 ， 其 中 n 是 在 每 次 加 蜜 过程 中 算 
法 分 组 的 大 小 。 散 列 率 越 高 ， 算 法 的 运行 就 越 快 〈 文 献 [1262」 中 给 出 
了 该 名 词 的 相反 定义 ， 但 此 处 给 出 的 定义 更 直观 ， 用 得 更 普遍。 这 可 能 
引起 混淆 ) 。 


18.111 散 列 长 度 等 于 分 组 长 度 的 方案 


一 般 的 方案 描述 如 下 ( 见 图 18-8〉: 
Ho =Iy Ig 是 随机 初始 值 


H,=E, (B) @C 





图 18-8 散 列 长 度 等 于 分 组 长 度 的 一 般 散 列 函 数 


其 中 A、B 和 C 可 以 为 M; 、Mi Has (M; 9H) 或 常数 (假定 
为 0) 中 的 任何 一 个 。Ho 是 某 个 随机 初始 值 : Ia 。 将 消息 分 成 多 个 分 组 
Mi ， 并 能 单独 处 理 它们 。 它 可 看 成 是 加 强 MD， 采 用 了 与 MD5 和 SHA 同 
样 的 填充 过 程 。 


3 个 不 同 的 变量 可 以 取 4 个 可 能 值 中 的 一 个 ， 所 以 总 共有 64 种 不 同 的 
方案 。Bart Preneel 已 全 部 研究 了 它们 P, 


其 中 有 15 种 方案 很 不 安全 ， 原 因为 输出 结果 不 依赖 于 输入 。 有 37 种 
方案 是 不 安全 的 ， 原 因 更 多 。 表 18-1 列 出 了 剩 下 的 12 种 方案 : 前 4 种 很 
安全 ， 能 抵抗 所 有 的 攻击 〈 见 图 18-9) ; 后 面 8 种 足够 安全 ， 能 抵抗 除 
定点 攻击 以 外 的 所 有 攻击 ， 没 有 值得 担心 的 地 方 。 


H; = En ,(M)®M: 

H; = En, (Mi ® Hm) OM @ He 
H; = En , (M) ® Hin ® M; 

H; = EH (M; Ð Haa) @M, 

H; = Eu, (Haa) ® Ha 

H; = En (M ® H1) MH 
H; = En, (H1) ® M; @ Hı 

H; = Eu, (M: ® Ha) ® H 


1 


H; = Emon, , (Mi) ® M; 

H; = Enon, (Hm) ® Hi 
H; = Emon, (M) ® Hi 
H; = Enon, , (H1) ® M 


表 18-1 分 组 长 度 等 于 散 列 长 度 的 安全 散 列 函数 

















图 18-9 分 组 长 度 等 于 散 列 大 小 的 4 种 保密 散 列 函 数 


第 1 种 方案 在 文献 [1028] 中 有 描述 。 第 3 种 方案 在 文献 [1555、 
1105, 1106] 中 有 描述 ， 并 被 建议 作为 ISO 标准 [766」 。 第 15 种 方案 由 
Carl Meyer 提 出 ， 在 文献 【1606、1607、434、1028] 中 一 般 称 为 Davies- 
Meyer 算 法 。 第 10 种 方案 作为 LOKI 的 散 列 函 数 模 式 [273] 。 


第 1、2、3、4、9、11 种 方案 的 散 列 率 为 1， 密 钥 长 度 等 于 分 组 长 
度 。 其 余 方案 散 列 率 为 Mn， 其 中 k 是 密 钥 长 度 。 这 就 意味 着 ， 如 果 密 钥 
长 度 比分 组 长 度 短 ， 那 么 消息 分 组 的 长 度 就 只 能 是 密 钥 长 度 。 不 推荐 消 
息 分 组 长 度 比 密 钥 长 度 长 ， 即 使 加 密 算法 的 密 钥 长 度 比分 组 长 度 长 。 


如 果 分 组 密码 算法 有 类 似 DES 的 实现 特性 和 弱 密 钥 ， 那 么 针对 这 12 
种 方案 可 能 就 有 其 他 的 攻击 方法 。 该 攻击 虽 不 能 破译 算法 但 得 小 心 防 
范 。 不 过 ， 可 以 通过 在 密 钥 中 国定 位 2 和 3 的 值 为 01 或 10 来 防止 这 种 攻击 
L1081、1107」 。 当然 ， 这 将 k 的 长 度 从 56 位 减少 到 54 位 (假设 在 DES 
中 ) ， 并 降低 散 列 率 。 


文献 中 提出 的 以 下 方案 已 证 明 是 不 安全 的 。 
文献 L369」 攻 破 了 文献 [1282」 中 的 方案 : 
H; = Ey (H,.) 
Davies 和 Price 提 出 了 一 个 变型 ， 该 变型 将 整个 消息 循环 两 次 [432， 


433] 。Coppersmish 的 攻击 正 是 在 不 需要 大 的 计算 要 求 下 针对 该 变型 的 


[369] | 








文献 L432, 458] 中 的 另 一 个 方案 在 文献 11606] 中 已 证 明 是 不 安 
全 的 : 


_ (Ha) 


iH. 


1 





这 个 方案 在 文献 11028] 中 已 证 明 是 不 安全 的 〈c 是 一 个 常数 ) : 


H; a Ec (M, DH) Ð M, GH 


18.11.2 ”改进 的 Davies-Meyer 
Lai 和 Massey 用 IDEA 密 码 算法 修改 了 Davies-Meyer 方 案 1950. 9251 
。IDEA 的 分 组 长 度 为 64 位 ， 密 钥 长 度 为 128 位 ， 方 案 如 下 : 


可, 二 In 其 中 In 是 随机 初始 值 
HH; = Ey a Hi) 


ee BOY 6467 PALI SET BOIS, Fer esi BU a CL 


18-10) o 


Hi 


H, 
a 密 角 
1 


M, 


图 18-10 改进 的 Davies-Meyer 


对 该 方案 还 没有 已 知 的 比 穷 举 攻击 更 容易 的 攻击 方法 。 
18.11.3 Preneel-Bosselaers-Govaerts-Vandewalle 


在 文献 £1266) 中 首次 提出 的 这 种 散 列 函数 用 于 产生 两 倍 于 分 组 密 
码 算法 分 组 长 度 的 散 列 函数 : 64 位 算法 产生 128 位 散 列 。 


该 方案 利用 64 位 分 组 算法 产生 两 个 64 位 散 列 值 G 和 Hi ， 它 们 级 联 
产生 128 位 散 列 。 对 大 多 数 分 组 算法 来 说 ， 分 组 的 大 小 是 64 位 。 具 有 分 
组 长 度 的 相 邻 消息 分 组 Li 和 Ri 同时 进行 如 下 散 列 运算 : 





Go= Is Io 是 随机 初始 值 
及 ,二 Iy In 是 随机 初始 值 
G= EL on, (R: OG.) DROG ® Hn 
Hi= E, or (Hin ® Ga) @L; OG ® Hı 


Lai 通 过 一 些 实例 ， 说 明生 日 攻击 是 可 行 的 ， 由 此 来 论证 对 该 方案 
的 攻击 L925- 926] 。Prened [1262」 和 Don Coppersmith 13721 也 对 该 方 
案 进 行 了 成 功 地 攻击 。 不 要 使 用 这 种 方案 。 


18.11.4 Quisquater-Girault 


在 文献 11279] 中 首次 提出 的 这 种 方案 也 是 用 于 产生 两 倍 于 分 组 算 


法 长 度 的 散 列 值 ， 并 且 散 列 率 为 ]。 它 有 两 个 散 列 值 Gi 和 Hi ， 也 有 两 个 
分 组 Li 和 Ri ， 并 同时 进行 散 列 运算 : 


G=Ig Tc 是 随机 初始 值 

及 ,二 Iy In 是 随机 初始 值 

W= E, (Ga OR) 四 Ri 四 万 

G= Er W; ®L;) ® Ga © Hau OL, 
H;= W; ®Gn 


该 方案 出 现 于 1989 年 的 ISO 标准 草案 中 [764」 ， 但 在 后 来 的 版 本 中 
被 取消 了 [765] 。 在 文献 [1107、925、1262、372] 中 证 实 了 该 方案 中 
存在 的 安全 问题 (实际 上 ， 自 从 先前 的 版 本 在 会 议 上 人 被 攻击 后 ， 现 有 版 
本 已 被 加 强 ) 。 在 某 些 实例 中 ， 生 日 攻击 的 复杂 性 为 23 ， 而 不 是 穷 举 
攻击 的 2 。 不 要 使 用 这 种 方案 。 











18.11.5 LOKI 双 分 组 


该 算法 是 Quisquater-Girault 的 一 种 改进 版 ， 特 别 为 LOKI 设 计 1°73! 
。 上 所 有 的 参数 与 Quisquater-Girault 的 一 致 。 


Go= Is Tc 是 随机 初始 值 

H= Iy In 是 随机 初始 值 

W= E, OOGn (Gu BR)OROH, 

G:= Eron (W: @L:) ® Ga © Ha OL; 

H:= W; @ Gi 

同样 ， 在 一 些 实例 中 ， 生 日 攻击 是 可 行 的 [925、926、1262、372、736] 
.不 要 使 用 该 方案 。 


18.11.6 “并行 Davies-Meyer 


还 有 其 他 的 散 列 率 为 1 的 算法 能 产生 两 倍 于 分 组 算法 长 度 的 散 列 值 
[736] ， 
Go 一 Tc Is 是 随机 初始 值 
Ho 二 In In 是 随机 初始 值 
Ci 一 EL er, (Gi OL) OL: Q Hı 
万 ;一 E, (Hin OR) OR; O He 


很 不 幸 ， 该 方案 也 不 安全 1928. 861] 。 结 论 是 ， 散 列 率 为 1 的 双 倍 
散 列 函数 没有 比 Davies-Meyer 更 安全 的 [8611 。 


18.11.7 ”串联 和 并 联 Davies-Meyer 





由 于 64 位 密 钥 的 分 组 密码 存在 内 在 缺陷 ， 所 以 还 有 一 种 解决 办 法 是 
使 用 64 位 分 组 和 128 位 密 钥 的 算法 ， 如 IDEA 〈 人 参见 13.9 节 ) 。 在 文献 
[930、925」 中 有 两 种 方案 均 产 生 128 位 散 列 值 且 散 列 率 为 1/2。 


在 第 一 种 方案 中 ， 两 个 改进 的 Davies-Meyer 函 数 以 串联 方式 工作 
( 见 图 18-11) 。 


G= Is Tc 是 随机 初始 值 
是 ,二 In 了 是 随机 初始 值 
W= Es um Ces) 

= Gye © Ev ww (GD 
H,= W; 四 万 





在 第 二 种 方案 中 ， 两 个 改进 的 Davies-Meyer 函 数 以 并 联 方 式 工 作 
( 见 图 18-12) 。 


Go 二 Ics Io 是 随机 初始 值 
及 ,二 Iy In 是 随机 初始 值 
G= Gu © Emn Ga 
H;= Ha ® Ec_ m (Haa) 





图 18-12 ”并 联 Davies-Meyer 


在 这 两 种 方案 中 ， 两 个 64 位 散 列 值 Gy 和 Hi 级 联 形成 128 位 散 列 值 。 





迄今 为 上 上 ， 该 算法 具有 对 128 位 散 列 函数 而 言 最 理想 的 安全 性 : 寻 
找 给 定 散 列 值 的 消息 需要 213 次 尝试 ， 寻 找 具 有 相同 散 列 值 的 两 个 随机 
消息 需要 2% 次 尝试 一 一 假定 除了 用 穷 举 攻击 外 ， 对 分 组 密码 算法 没有 
更 好 的 攻击 方法 。 











18.11.8 MDC-2 和 MDC-4 


MDC-2 和 MDC-4 首 先 由 IBM 开 发 [1081、1079] 。MDC-2， 有 时 称 为 
Meyer-Schilling， 已 考虑 用 作 ANSI 和 ISO 标准 L61 7651 。 在 文献 
[762] 中 提出 了 它 的 一 个 变型 。MDC-4 是 为 RIPE 项 目 研制 的 【1305] 
《参见 25.7 节 ) 。 尽 管理 论 上 可 以 使 用 任何 加 密 算 法 ， 但 MDC-4 还 是 用 
DES 作 为 分 组 函数 。 


MDC-2 的 散 列 率 为 12， 产生 的 散 列 值 的 长 度 为 分 组 长 度 的 两 倍 。 
图 18-13 表 明了 这 一 点 。MDC-4 产 生 的 散 列 值 的 长 度 也 为 分 组 长 度 的 两 
音 ， 不 过 其 散 列 率 为 4， 见 图 18-14。 









G; 

+ 

这 些 方案 在 [925、1262] 中 已 做 过 分 析 。 在 现 有 计算 能 力 下 它们 
是 安全 的 ， 但 不 如 设计 者 估计 的 安全 。 假 如 分 组 算法 是 DES， 这 些 方案 





图 18-14 MDC-4 


已 用 差分 分 析 方法 攻击 过 -1262] 。 


MDC-2 和 MDC-4 都 已 取得 专利 L] 。 


18.11.9 AR 散 列 函数 


AR 散 列 函数 由 算法 研究 公司 开发 ， 并 已 由 ISO 仅 用 于 信息 目的 予以 
BAR UTI 。 其 基本 结构 是 CBC 模 式 中 基本 分 组 密码 的 变型 (参考 了 
DES) 。 最 后 的 两 个 密 文 分 组 和 常数 与 当前 的 消息 分 组 异 或 ， 并 由 算法 
加 密 。 散 列 由 最 后 的 两 个 密 文 分 组 计算 。 消 息 被 执行 两 次 ， 分 别 采 用 不 
同 的 密 钥 ， 所 以 散 列 率 为 12。 第 一 个 密 钥 为 0x0000000000000000， 第 
二 个 密 钥 为 0x2a41522f4446502a，c 为 0x0123456789abcdef。 结 果 被 压缩 
成 一 个 128 位 散 列 值 。 具 体 细节 参见 文献 [750] 。 


H,=Ex (M; ®H,, BH,, @c) ƏM, 


这 上 听 起 来 很 有 意思 ， 但 它 不 安全 。 在 考虑 其 预 处 理 后 ， 很 容易 找到 
对 该 散 列 函数 的 攻击 方法 “416] 。 


18.11.10 GOST 散 列 函 数 


该 艇 列 函数 来 自 俄罗斯 ， 被 指定 用 于 COST R 34.11-94 标 准 中 [657] 
. 尽管 在 理论 上 它 可 以 用 任何 64 位 分 组 和 128 位 密 铀 ， 但 它 采 用 了 GOST 


分 组 算法 〈 参 见 14.1 节 ) 。 该 散 列 函数 产生 256 位 散 列 值 。 








压缩 函数 H =f (M, Ha) 《运算 数 均 为 256 位 ) 定义 如 下 


(1) 通过 对 Mi . Hy, 和 一 些 和 常数 进行 某 些 线性 运算 ， 产 生 4 个 
GOST 加 密 密 钥 。 


(2) 利用 每 一 个 密 钥 以 ECB 方 式 对 Hi 的 不 同 64 位 进行 加 密 。 将 
结果 的 256 位 存 入 临时 变量 S 中 。 


(3) Hi 是 S、M; 、Hi; 的 复杂 线性 函数 。 


M 的 最 终 散 列 值 不 是 最 后 分 组 的 散 列 值 。 实 际 上 使 用 了 3 个 链接 变 
量 : H, 是 最 后 消息 分 组 的 散 列 值 ，Z 是 所 有 消息 分 组 之 和 模 2236 ， 工 是 
消息 的 长 度 。 给 出 这 些 变量 和 填充 的 最 后 分 组 M',， 最 后 的 散 列 值 为 : 





H=f (Z@M’, f (L, f (M’, H,) ) ) 


该 描述 有 点 难以 理解 ， 但 我 认为 它 是 正确 的 。 无 论 如 何 ， 该 方案 已 
考虑 用 在 俄罗斯 数字 签名 标准 中 (RDSS) (参见 20.3 节 ) 。 


18.11.11 其 他 方案 





Ralph Merkle 提 出 了 一 个 使 用 DES 的 方案 ， 但 它 太 慢 : 在 每 次 迭代 
中 它 仅 处 理 7 位 消息 ， 而 且 在 每 次 迭代 中 涉及 两 个 DES 加 密 [1065、1069] 


[1642、1 一 个 六 
645] 中 的 另 一 个 方案 是 不 安全 的 [1267」 ， 该 六 


议 作为 ISO 标准 。 


18.12 ”使 用 公开 密 钥 算法 


在 分 组 链接 模式 中 使 用 公开 密 钥 算法 作为 单 问 散 列 函 数 是 可 能 的 。 
如 有 果 扔 挥 了 私人 密 钥 ， 破 译 散 列 束 将 与 没有 私人 密 钥 读 消息 同样 困难 。 
这 里 给 出 如 何 使 用 RSA 的 一 个 例子 。 设 M 是 竺 进行 散 列 运算 的 消 


恩 ，D 为 两 个 素数 p 和 qd 的 乘积 ，e 是 一 个 与 Cp-1) x q- 互 素 的 大 数 ， 
则 散 列 函数 H(M》 应 为 : 





H (M>) =Me modn 
还 有 一 个 更 容易 的 解决 方法 是 使 用 单个 强 素数 p 作 为 模 数 ， 则 : 
H (M>) =Memodp 


破译 这 个 问题 可 能 与 寻找 e 的 离散 对 数 同样 困难 。 该 算法 存在 的 问 
题 是 ， 它 比 这 里 讨论 的 所 有 其 他 算法 慢 很 多 。 基 于 这 个 理由 我 建议 不 要 
使 用 它 。 











18.13 ”选择 单 同 散 列 函数 


可 选 的 方案 可 能 有 SHA、MD5 和 基于 分 组 密码 的 构造 ， 而 其 他 的 方 
案 实在 没有 得 到 足够 的 研究 。 我 建议 使 用 SHA。 它 的 散 列 值 比 MD5 长 ， 
比 各 种 分 组 密码 构造 更 快 ， 并 且 是 由 NSA 研 制 的 。 我 坚信 NSA 在 密码 学 
上 的 能 力 ， 尽 管 他 们 没 将 其 结果 公之于众 。 





表 18-2 给 出 了 一 些 散 列 函 数 的 实时 测量 结果 。 它 们 仅 做 比较 之 用 。 


表 18-2 7£33MHz 486SX 上 一 些 散 列 函 数 的 加 密 速 度 





算法 JK JE 加 密 速度 〈 千 字 节 / 秒 ) 
并 联 Davies-Meyer (IDEA) 128 22 
Davies-Meyer (DES) 64 9 
GOST 256 1] 
HAVAL(3 轮 ) 可 变 168 
HAVAL(4 轮 ) 可 变 118 
HAVAL(5 轮 ) 可 变 95 
MD2 28 23 
MD4 28 236 
MD5 128 174 
N-Hash (12 轮 ) 28 29 
N-Hash (15 轮 ) 28 24 
RIPE-MD 28 182 
SHA 160 75 
Sneeru (4 #6) 28 48 
Sneeru (8 轮 ) 28 23 








18.14 ”消息 鉴别 但 


与 密 钥 相 关 的 单 癌 散 列 函数 通常 称 为 MAC， 即 消息 鉴别 码 。MAC 
共有 与 移 前 讨论 的 单 问 散 列 函 数 同样 的 特性 ， 但 MAC 还 包括 一 个 冤 
钥 。 只 有 拥有 相同 密 钥 的 人 才能 鉴别 这 个 散 列 。 这 对 于 在 没有 保密 的 情 
况 下 提供 可 和 鉴别 性 是 非常 有 用 的 。 





MAC 可 在 用 户 之 间 鉴 别 文件 。 它 还 可 以 被 单个 用 户 用 来 确定 他 的 
文件 者 否 已 改动 ， 或 者 否 感 染 了 病毒 。 用 户 也 可 以 计算 出 文件 的 
MAC， 并 将 该 值 存 入 某 个 表 中 。 如 果 用 户 采 用 了 单身 散 列 函数 ， 在 感 
染病 毒 后 就 可 计算 出 新 的 散 列 值 ， 并 用 和 它 代 兰 表 中 的 值 。 病 毒 就 不 能 做 
到 这 一 点 ， 因 为 它 不 知道 密 钥 。 





将 单 向 散 列 函数 变 成 MAC 的 一 个 简单 办 法 是 用 对 称 算法 加 密 散 列 
值 。 相 反 ， 将 MAC 变 成 单 癌 散 列 函数 则 只 需 将 密 钥 公开 即 可 。 


18.14.1 CBC-MAC 


创建 一 个 与 密 钥 相 关 的 单 向 散 列 函数 最 简单 的 方法 是 用 分 组 算法 的 
CBC 或 CFB 模 式 加 密 消 息 。 将 最 后 一 个 密 文 分 组 的 散 列 再 一 次 用 CBC 或 
CEFB 模 式 加 密 。 在 ANSI X9.9 |54 、ANSI X9.19 [56」 、ISO 8731-1 
L759] 、ISO 9797 [763] 中 规定 了 CBC 方 法 ， 它 同时 也 是 澳大利亚 标准 


01496] 。 差 分 分 析 法 能 破译 以 减少 轮 数 的 DES 或 FEAL 作 为 基本 分 组 算 
法 的 该 方案 [1197] 。 


该 方法 的 安全 问题 是 接收 者 必须 知道 密 钥 ， 该 密 钥 允许 他 靠 逆 同 解 
密 产 生 一 个 与 给 定 消 息 散 列 值 相同 的 男 一 消息 。 
18.142 HEKI 
该 算法 是 一 个 ISO 标准 [760」 。 它 产生 32 位 散 列 ， 并 为 具有 快速 乘 
法 指令 的 大 型 计算 机 所 设计 [428] 。 
v= v<<<l 
e=vOw 
x= ((CCe+ y)mod 2”) V A A © X (x ®M;)) mod 2” — 1 


= ((((e 十 Z)mod 2%) VBAD)X(y @M,))mod 932 9 


ERMA SEM, ， 散 列 结果 是 x 和 y 的 异 或 。 变 量 v 和 e 由 密 铀 
HE, A, B C DERR. 


该 算法 有 很 广泛 的 应 用 ， 但 我 不 相信 它 总 是 安全 的 。 它 已 设计 很 久 
了 ， 也 不 复杂 。 


18.14.3” 双 向 MAC 


该 MAC 产 生 的 散 列 值 大 小 是 分 组 长 度 的 两 倍 [978] 。 首 先 ， 计 算 
消息 的 CBC-MAC。 然 后， 按 道 序 计算 消息 分 组 的 CBC-MAC。 双 问 
MAC 的 值 是 两 者 的 级 联 。 很 不 幸 ， 该 方案 是 不 安全 的 [1097」 。 





18.14.4 ”Jueneman 方 法 


该 类 MAC 又 称 为 二 次 同 余 操 作 探 测 码 (QCMDC) “792、7984 。 首 
名 


Hi= (Hi+Mi )“modp p 是 小 于 2 -1 的 素数 ， 并 且 + 为 整数 加 法 


Juenmeman 建 议 n=16，p=231 -1。 在 文献 L792] 中 他 建议 增加 一 个 
密 钥 作为 H ， 实 际 消息 起 点 为 H， © 


为 在 Don Coppermith 中 常 伴随 诸如 生日 攻击 类 的 攻击 ， 所 以 
Jueneman 建 议 计 算 QCMDC4 次 ， 把 每 一 次 达 代 的 结果 作为 下 一 次 达 代 的 
IV， 并 把 结果 级 联 获得 128 位 散 列 值 “7934 。 采 用 4 次 迭代 和 进行 级 联 使 
该 方案 大 大 加 强 了 (790 791] 。 该 方案 被 Coppersmith 破 译 1876! 。 


另 一 种 变型 [432、434」 就 是 用 异 或 替换 加 法 ， 且 使 用 比 p 小 的 消息 
分 组 。Ho 也 重新 设置 为 不 是 密 钥 的 单 癌 散 列 函 数 。 该 方案 被 攻击 后 
[612] ， 又 作为 欧洲 开放 市 场 信息 项 目 (EOSITT) 的 一 部 分 得 到 加 强 


[1221] ， 并 且 被 CCITT X.509 [304] 所 引用 ， 被 ISO 10118 [764 765] 
采用 。 很 不 幸 ， 该 方案 又 被 Coppersmith 破 译 13761 。 此 外 还 做 了 一 些 
不 是 指数 2 的 研究 工作 “603 ， 但 都 没有 前 途 。 


18.14.5 RIPE-MAC 


RIPE-MAC 由 Bart Preneel 发 明 [1262」 ， 在 RIPE 项 目 中 被 采用 
L1305」 (参见 18.8 节 ) 。 它 基于 ISO 9797 -763」 ， 并 且 使 用 DES 作 为 分 
组 加 密 函 数 。RIPE-MAC 有 两 种 形式 : 一 种 使 用 通用 的 DES， 称 为 RIPE- 
MAC1; 男 一 种 使 用 三 重 DES 以 获得 更 高 的 安全 性 ， 称 为 RIPE-MAC3。 


RIPE-MAC1 对 每 64 位 消息 分 组 进行 一 次 DES 加 密 。RIPE-MAC3 进 行 3 








Ws 


算法 由 3 部 分 组 成 。 首 先 ， 扩 展 消 息 使 其 长 度 为 64 位 的 倍数 。 然 
后 ， 将 扩展 后 的 消息 分 成 64 位 分 组 。 在 一 个 保密 的 密 钥 控制 下 ， 用 一 个 
这 密 钥 的 压缩 函数 将 这 些 分 组 散 列 成 一 个 64 位 分 组 。 这 是 DES 或 三 重 
DES 均 需要 的 步骤 。 最 后 ， 从 压缩 时 使 用 的 密 钥 导 出 另 一 个 不 同 的 密 
钥 ， 对 压缩 的 输出 进行 另 一 次 基于 DES 的 加 密 。 详 见 文 献 [1305] 。 





18.14.6 IBC-Hash 


IBC-Hash 是 另 一 个 在 RIPE 项 目 中 采用 的 MAC [15%] (参见 18.8 


节 ) 。 它 有 吸引 力 的 原因 是 因为 它 被 证 明 是 正确 的 ， 成 功 攻击 的 概率 能 
被 量化 。 不 羊 的 是 ， 每 条 消息 必须 用 不 同 的 密 钥 进行 散 列 。 安 全 级 的 选 
择 受 能 进行 散 列 的 最 大 消息 长 度 的 制约 一 一 而 与 本 章 中 的 其 他 函数 不 
同 。 基 于 这 些 考 虑 ，RIPE 报 告 建议 将 IBC-Hash 仪 用 于 长 而 不 经 常 发 送 
AYE A o 








该 函数 的 核心 为 : 


h, = © (M; mod p) +v) mod 2” 





p 和 v 是 秘密 密 钥 对 ， 其 中 p 是 n 位 素数 ，v 是 比 22 小 的 随机 数 。Mi 的 
值 可 从 规定 的 填充 过 程 推导 出 。 攻 破 单 癌 函数 和 进行 碰撞 攻击 的 概率 可 
以 计算 出 来 ， 用 户 还 可 以 靠 改 变 参数 来 选择 其 安全 级 。 


18.14.7 单 同 散 列 函数 MAC 


单 向 散 列 函数 也 可 作为 MAC 来 使 用 “137」 。 假 定 Alice 和 Bob 共 享 
一 个 密 钥 K， 并 且 Alice 欲 向 Bob 发 送 消 息 M 的 MAC。Alice 将 M 和 K 级 联 
并 计算 其 结果 的 单 向 散 列 值 H (K，M) ， 该 散 列 就 是 MAC。 只 要 Bob 
知道 K， 他 就 能 重新 恢复 Alice 的 结果 。 而 Mallory 不 知道 K， 所 以 他 不 能 
恢复 Alice 的 结果 。 





该 方案 采用 增强 的 MD 技术 ， 但 它 有 严重 的 问题 。Mallory 也 能 在 消 


恩 末 尾 增加 一 个 新 消息 分 组 ， 并 产生 其 合法 的 MAC。 假 如 在 消 轧 开始 
处 放 入 消 妃 的 长 度 ， 可 使 该 攻击 受阻 ， 但 Preneel 怀 疑 这 方案 的 安全 性 
L1265] 。 把 密 钥 放 在 H M, K) 的 末尾 ， 还 可 能 会 好 些 ， 但 也 有 一 些 
问题 “1265」 。 如 果 H 是 单 向 的 且 能 出 现 一 些 碰撞 ，Mallory 就 能 伪造 该 





消息 。 所 以 最 好 是 H (K, M, K) XH (K1, M, K) ， 其 中 Ki K, 
不 同 [1537」 。 Preneel 对 此 仍然 有 疑虑 。 


下 面 的 构造 似乎 是 安全 的 : 

H (K,, H (K,, M) ) 

H (K, H (K, M) ) 

H (K, p, M, K) 用 p 填 充 K 形 成 完整 的 消息 分 组 


最 好 的 方法 是 每 个 消 轧 分 组 至 少 级 联 64 位 密 钥 。 这 使 单身 散 列 函数 
的 效率 降低 了 ， 因 为 消息 分 组 变 得 更 小 ， 但 更 安全 “1265] 。 


全 > 


可 采用 单 向 散 列 函数 和 对 称 算 法 。 散 列 文 件 ， 然 后 加 密 该 散 列 。 它 
比 先 加 密 文 件 ， 后 散 列 已 加 密 的 文件 安全 很 多 ， 但 它 容易 受到 与 
H (M, K) 同样 的 攻击 [1265」 。 





18.14.8 序列 密码 MAC 


这 种 MAC 采 用 序列 密码 〈 见 图 18-15) 1952) 。 一 个 密码 学 上 安全 
的 伪 随 机 位 发 生 器 将 消息 序列 分 离 成 两 个 子 序 列 。 如 果 位 发 生 器 的 输出 
位 ki 是 1， 那 么 将 当前 消息 位 mi 送 入 第 一 个 子 序列 ;若是 ki 为 0， 则 将 mi 
送 入 第 二 个 子 序列 。 这 两 个 子 序列 分 别 反 馈 至 不 同 的 线性 反馈 移 位 寄存 
器 中 (LFSR) (参见 16.2 节 ) 。MAC 的 输出 就 是 移 位 寄存 器 的 最 后 状 









ROA PF FF ai | 
POA BF FF ait 2 


图 18-15 ”序列 密码 MAC 






消息 序列 





很 不 位 ， 该 方案 对 消息 的 细微 变化 是 不 安全 的 。 例 如 ， 如 果 你 改变 
消 妃 的 最 后 一 位 ，MAC 中 的 相应 值 只 需要 改变 两 位 就 能 产生 伪造 的 
MAC。 要 做 到 这 一 点 很 容易 。 后 来 ， 设 者 提出 了 一 个 更 安全 更 复杂 的 








公开 密 钥 密码 学 的 概念 是 由 Whitfield Diffie 和 Martin Hellman 发 明 
的 ，Ralph Merkle 也 独立 提出 了 此 概念 。 它 在 密码 学 上 的 贡献 在 于 使 用 
了 一 对 密 钥 〈 加 密 密 钥 和 解密 密 钥 ) ， 并 且 从 解密 密 钥 推出 加 密 密 钥 是 
不 可 行 的 〈 参 见 2.5 节 ) 。1976 年 ，Diffie 和 Hellman 在 美国 国家 计算 机 会 
议 上 首先 公布 了 这 个 概念 “4395」， 几 个 月 后 ， 出 版 了 这 篇 开创 性 的 论 
文 “New Directions in Cryptography”( 密 码 学 的 新 方向 ) 【436」 (由 于 处 
理 过 程 很 繁琐 ， 所 以 Merkle 对 这 一 领域 的 首次 贡献 直到 1978 年 才 公 开 


[1064] ) 。 








1976 年 后 ， 提 出 了 多 种 公开 密 钥 算法 ， 其 中 许多 是 不 安全 的 。 而 那 
些 被 视 为 安全 的 算法 ， 有 许多 却 不 实用 ， 要 么 密 钥 太 大 ， 要 么 密 文 远大 
于 明文 。 





只 有 少数 几 个 算法 既 安 全 又 实用 。 这 些 算法 大 多 针对 11.2 节 中 讨论 
的 难题 。 在 这 些 既 安全 又 实用 的 算法 中 ， 一 些 仅 适用 于 密 钥 分 配 ， 一 些 
适用 于 加 密 ( 且 扩展 作为 密 钥 分 配 ) ， 还 有 一 些 只 适用 于 数字 签名 。 只 
有 三 种 算法 可 以 同时 很 好 地 用 于 加 密 和 数字 签名 : RSA、ElGamal 和 








Rabin。 不 过 这 些 算法 都 很 慢 。 它 们 加 密 和 解密 速度 比 对 称 算法 慢 很 
多 ， 通 常 太 慢 以 至 于 无 法 用 于 许多 快速 数据 加 密 。 





混合 密码 系统 (参见 2.5 节 ) 提供 了 一 种 较 好 的 方法 : 使 用 带 随 机 
会 话 密 钥 的 对 称 算法 来 加 密 消 轧 ， 使 用 公开 密 钥 算法 来 加 密 随 机 会 话 冤 
to 


公开 密 钥 算法 的 安全 性 


因为 密码 分 析 者 能 获取 公开 密 钥 ， 他 们 总 是 可 以 选择 任意 消息 来 加 
密 。 这 意味 着 ， 给 定 了 C=El，(P) 的 密码 分 析 者 能 够 猜测 P 的 值 并 很 容 
易 验 证 他 们 的 狂想。 如 果 可 能 的 明文 数 少 到 足以 进行 穷尽 搜索 ， 这 就 将 
是 一 个 严重 的 问题 ， 但 这 能 够 通过 用 随机 位 串 填充 消息 的 方法 来 解决 。 
这 使 相同 的 明文 加 密 得 到 不 同 的 密 文 《有 关 该 方法 的 更 多 知识 ， 参 见 
23.15) « 











用 公开 密 钥 算法 来 加 密会 话 密 钥 ， 这 一 点 尤其 重要 。Eve 能 够 产生 
一 个 由 Bob 的 公开 密 钥 加 密 的 所 有 可 能 会 话 密 钥 的 数据 库 。 当 然 ， 这 需 
要 很 多 时 间 和 大 容量 存储 器 ， 但 对 40 位 出 口 密 钥 或 56 位 DES 密 钥 而 言 ， 

这 比 攻 击 Bob 的 公开 密 钥 算法 所 用 的 时 间 和 存储 空间 要 少 很 多 。 一 
Eve 获得 了 该 数据 库 后 ， 她 就 可 以 任意 地 读 取 Bob 的 邮件 。 


公开 密 钥 算 法 能 抵抗 选择 明文 攻击 ， 它 们 的 安全 性 依赖 于 由 公开 密 


钥 恢 复出 私人 密 钥 的 难度 和 由 密 文 恢复 出 明文 的 难度 。 然 而 ， 大 多 数 公 
开 密 钥 算 法 特别 容易 受到 选择 密 文 的 攻击 〈 见 1.1 节 ) 。 





数字 签名 是 加 密 的 逆 过 程 ， 除 非 在 加 密 和 签名 中 采用 了 不 同 的 密 
钥 ， 人 否则 攻击 是 不 可 避免 的 。 





因此 ， 重 要 的 是 从 整体 上 研究 一 个 系统 ， 而 不 应 局 限于 系统 的 一 部 
分 。 好 的 公开 和 密 钥 协议 应 设计 成 任何 一 方 都 不 能 解密 其 他 方 产生 的 任何 
消 轧 。 对 等 证 明 协 议 就 是 一 个 很 好 的 例子 《参见 5.2 节 ) 。 


公开 密 钥 加 密 的 第 一 个 算法 是 由 Palph Merkle 和 Martin Hellman 开 发 
的 背包 算法 (718. 1074) 。 它 只 能 用 于 加 密 ， 后 来 Adi Shamir 将 它 改进 使 
之 也 能 用 于 数字 签名 45] 。 背 包 算 法 的 安全 性 起 源 于 背包 难题 ， 它 
是 一 个 NP 完全 问题 。 尽 管 这 个 算法 后 来 发 现 是 不 安全 的 ， 但 由 于 它 证 
明了 如 何 将 NP 完全 问题 用 于 公开 密 钥 密码 学 ， 所 以 很 值得 研究 。 








背包 问题 描述 起 来 很 饮 单 。 给 定 一 堆 物 品 ， 每 个 重量 不 同 ， 能 人 否 将 
这 些 物品 中 的 几 件 放 入 一 个 背包 中 使 之 等 于 一 个 给 定 的 重量 ? 更 公式 化 
的 描述 : 给 定 一 系列 值 M My, o M, 和 一 个 和 S， 计 算 b; ， 使 之 满 
E: 


S=b, M; +b, M +...+b, M, 
bi 的 值 可 为 0 或 1，1 表 示 这 个 物品 在 背包 中 ，0 表 示 不 在 。 


例如 ， 这 些 物品 可 能 分 别 重 为 1、5、6、11、14、20， 可 以 用 5、6 
和 11 组 装 一 个 重 为 22 的 背包 。 而 要 组 装 一 个 重 为 24 的 背包 则 是 不 可 能 
的 。 一 般 来 说 ， 解 决 这 个 问题 所 需 的 时 间 似 乎 会 随 着 堆 中 物品 个 数 的 增 
加 呈 指 数 增长 。 


Merkle-Hellman 背 包 算 法 的 思想 是 将 消息 编码 为 背包 问题 的 解 。 明 





文 分 组 长 度 等 于 扒 中 物品 个 数 ， 且 明文 位 与 b 的 值 相对 应 ， 密 文 是 计算 
得 到 的 和 值 。 图 19-1 给 出 了 一 段 用 例子 中 的 背包 问题 来 加 密 的 明文 。 


明文 : 111001 010110 000000 011000 
背包 : 156111420 156111420 156111420 156111420 


BE : 1+5+6+20= 54114+14= 0= 546= 
32 30 0 1 





图 19-1 背包 算法 加 密 





奥妙 在 于 实际 上 存在 两 类 不 同 的 背包 问题 ， 一 类 在 线性 时 间 内 可 
解 ， 而 妨 一 类 不 能 。 吻 解 的 背包 问题 可 以 修改 成 难 解 的 背包 问题 。 公 开 
密 钥 使 用 难 解 的 背包 问题 ， 它 可 很 容易 地 用 来 加 密 明 文 但 不 能 用 来 解密 
密 文 。 私 人 密 钥 用 易 解 的 背包 问题 ， 它 给 出 一 个 解密 的 简单 方法 。 不 知 
道 私人 密 钥 的 人 要 破译 密 文 束 不 得 不 解 一 个 难 的 背包 问题 。 


19.2.1 超 递 增 背 包 





什么 是 易 解 的 背包 问题 ?如 果 重 量 的 序列 是 一 个 超 递 增 序列 
(Superincreasing sequence) ， 那 么 相应 的 背包 问题 易 求 解 。 超 递增 序 
列 是 这 样 一 个 序列 ， 它 的 每 一 项 都 大 于 它 之 前 所 有 项 之 和 。 例 如 {1， 
3，6，13，27，52} 是 一 个 超 递 增 序 列 ， 而 {1，3，4，9，15，25} 则 不 


H 
KE o 


超 递增 背包 Csuperincreasing knapsack) 问题 的 解 很 容易 找到 。 计 
其 总 重量 并 与 序列 中 最 大 的 数 比 较 ， 如 果 总 重量 小 于 这 个 数 ， 则 它 不 
生 背 包 中 。 如 果 总 重量 大 于 这 个 数 ， 则 它 在 背包 中 ， 背 包 重 量 减 去 这 个 
， 进 而 考 碍 序列 中 下 一 个 最 大 的 数 ， 重 复 直 到 结束 。 如 果 总 重量 减 为 





“at 











= A 


例如 ， 考 碍 总 重量 为 70 的 一 个 背包 ， 超 递增 重量 序列 为 {2，3，6， 
13，27，52}。 最 大 的 重量 52， 小 于 70， 所 以 52 在 背包 中 。70 减 去 52 剩 
18， 下 一 个 重量 27 比 18 大 ， 所 以 27 不 在 背包 中 。 再 下 一 个 重量 13 小 于 
18， 所 以 13 在 背包 中 。 从 18 中 减 去 13 剩 5， 再 下 一 个 重量 6 比 5 大 ， 所 以 6 
不 在 背包 中 。 继 续 这 个 过 程 将 得 出 2 和 3 都 在 背包 中 ， 总 重量 减 为 0， 表 
明 已 求 出 一 个 解 。 如 果 这 是 一 个 Merkle-Hellman 背 包 加 密 分 组 ， 那 么 对 


密 文 70 的 解 为 110101。 





非 超 递增 《或 一 般 ) 的 背包 是 困难 的 问题 ， 它 们 没有 快速 算法 。 要 
决定 哪 一 项 在 背包 中 的 唯一 方法 是 依次 测试 所 有 解 直到 你 得 到 正确 的 解 
为 止 。 考 虑 了 各 种 试探 法 后 ， 最 快 的 算法 仍 随 背包 中 物品 数目 的 增长 而 
呈 指 数 增长 。 辐 重量 序列 中 增加 一 项 ， 将 花 两 倍 的 时 间 找 出 其 解 。 这 远 
比 超 递增 背包 问题 困难 ， 对 于 后 者 ， 当 你 加 入 一 项 到 序列 中 ， 求 解 只 需 
再 进行 一 次 运算 即 可 。 














Merkle-Hellman 算 法 就 是 利用 了 这 个 性 质 。 私 人 密 钥 是 一 个 超 递增 
育 包 问 题 的 重量 序列 。 公 开 密 钥 是 有 相同 解 的 普通 背包 问题 的 重量 序 


列 。Merkle 和 Hellman 设 计 了 一 种 方法 可 将 超 递增 背包 问题 转化 为 普通 
的 背包 问题 ， 他 们 用 模 运 算 来 完成 此 变化 。 


19.2.2 ”由 私人 密 钥 产生 公开 密 负 


本 书 不 打算 深入 到 数论 中 ， 只 简单 说 明 该 算法 如 何 工作 : 为 了 获得 
一 个 普通 的 背包 序列 ， 取 一 个 超 递增 序列 ， 比 如 {2，3，6，13，27， 
52}， 用 n 去 乘 所 有 的 项 ， 再 用 m 做 模 数 进行 模 运 算 。 这 个 模 数 应 比 序列 
中 所 有 数 的 和 大 ， 比 如 105。 乘 数 应 与 序列 中 的 任何 一 个 数 没 有 公 因 
子 ， 比 如 31。 那 么 ,一般 的 背包 序列 为 : 





2x31 mod 105=62 


3x31 mod 105=93 


6x31 mod 105=81 


13x31 mod 105=88 


27x31 mod 105=102 


52x31 mod 105=37 


因而 ， 得 到 的 背包 是 {62，93，81，88，102，37}。 


超 递增 背包 序列 就 是 私人 密 钥 ， 而 得 到 的 背包 序列 就 是 公开 密 钥 。 
19.2.3 ”加 密 
要 加 密 一 个 二 进 制 消息 ， 首 先 将 它 分 成 长 度 等 于 背包 序列 中 项 数 的 


许多 分 组 。 然后， 用 1 表示 该 项 存在 ， 用 0 表示 该 项 不 在 其 中 ， 计 算 背 包 
的 总 重量 。 对 所 有 分 组 都 重复 这 个 运算 。 











例如 ， 如 果 消 息 是 二 进 制 数 011000110101101110， 采 用 上 面 的 背包 
加 密 过 程 如 下 : 


消息 =011000110101101110 
011000 对 应 93+81=174 
110101 对 应 62+93+88+37=280 
101110 对 应 62+81+88+102=333 


密 文 为 : 174，280，333。 


19.2.4 解密 


消息 的 合法 接收 者 知道 私人 密 钥 : 原始 的 超 递增 背包 、 用 于 把 它 转 
化 成 一 般 背 包 的 n 和 m 的 值 。 为 解密 消息 ， 接 收 者 必须 首先 计算 出 m1 以 


满足 nxn1=1 (modm) . Mn! 模 m 乘 密 文 值 的 每 项 ， 然 后 用 私人 背包 
对 它 进 行 划 分 就 可 获得 明文 。 





在 本 例 中 ， 超 递增 背包 为 {2，3，6，13，27，52}，m 等 于 105, n 
等 于 31， 密 文 消 息 为 174，280，333。ml 等 于 61， 所 以 密 文 值 必须 用 61 
模 105 乘 。 


174x61 mod 105=9=3+6 ”对 应 011000 
280x61 mod 105=70=2+3+13+52 “对 应 110101 
333x61 mod 105=48=2+6+13+27 ”对 应 101110 


恢复 出 的 明文 为 011000 110101 101110。 


19.2.5 ”实际 的 实现 方案 


要 解决 仅 有 6 项 的 背包 序列 问题 不 是 很 难 ， 甚 至 对 非 超 递增 序列 也 
是 如 此 。 实 际 使 用 的 背包 算法 至 少 应 该 包含 250 项 。 在 超 递增 背包 中 每 
项 值 一 般 为 200 一 400 位 。 模 数 一 般 为 100 一 200 位 。 该 算法 在 实际 使 用 中 
用 随机 序列 发 生 器 来 产生 这 些 值 。 





对 这 样 的 背包 ， 试 图 用 穷 举 攻击 来 破译 是 无 用 的 。 即 使 一 台 计 算 机 
每 秒 能 运行 100 万 次 ， 要 试 完 所 有 可 能 的 背包 值 也 需要 10% 年 。 即 使 用 





100 万 全 计算 机 并 行 工 作 ， 在 太阳 毁灭 之 前 也 不 能 解决 这 个 问题 。 


19.26 背包 的 安全 性 


事实 上 ， 不 是 100 万 台 计 算 机 而 是 两 个 密码 学 家 破译 了 背包 密码 系 
统 。 首 先 可 恢复 出 明文 的 一 位 [725」 。 然 后 ，Shamir 指 出 某 些 情况 下 背 
包 算 法 能 被 破译 [1415, 1416] ` 还 有 其 他 一 些 结果 [14284 38, 754, 516, 
488] ， 但 没有 人 能 破译 一 般 的 Merkle-Hellman 系 统 。 最 后 Shamir 和 
Zippel [1418、1419、1421」 发 现 了 变换 中 的 缺陷 ， 即 可 以 允许 它们 从 普通 
的 背包 中 重 构 出 超 递增 背 包 。 关 于 这 个 问题 完整 的 讨论 超出 了 本 书 的 范 
围 ， 精 辟 的 总 结 可 在 文献 [1233、1244] 中 找到 。 在 一 次 会 议 上 ， 提 出 
了 该 结果 ， 并 用 Apple 开 计算 机 现场 演示 了 对 它 的 破译 [492、 494) 。 


19.2.7 背包 变型 


目 从 最 初 的 Merkle-Hellman 方 案 被 破译 后 ， 又 有 许多 其 他 的 背包 系 
统 被 提出 : 多 次 迭代 背包 、Graham-Shamir 背 包 等 。 这 些 背 包 中 的 大 多 
数 都 被 用 同样 的 密码 分 析 方 法 攻破 了 ， 人 少数 则 采用 更 高 级 的 分 析 方 法 


[260+ 253% 269 921 15s 919, 920. $22, 366. 254. 263; 255] 对 这 文 些 些 系 统 好 的 


综述 和 它们 的 密码 分 析 能 从 文献 [267、479、257、268] 中 找到 。 


利用 类 似 于 背包 密码 系统 思想 提出 的 其 他 密码 算法 也 被 破译 了 。 


Lu-Lee 密 码 系统 [990 13] 在 文献 [20、614、873] 中 被 破译 ， 文 献 
[507] 中 的 修改 版 也 被 破译 了 [1620] 。 对 Goodman-McAuley 密 码 系统 
的 攻击 可 从 文献 [646、647、267、268] 中 找到 。Pieprzyk 系 统 [1246] 
能 用 相似 的 攻击 方法 破译 。 基 于 模 背 包 的 Niemi 密 码 系统 [1109 在 文献 
[345、788] 中 被 破译 。 一 种 新 的 多 级 背包 “74」 还 没有 被 破译 ， 但 我 
对 此 并 不 乐观 。 文 献 [294] 中 还 给 出 了 其 他 变型 。 


还 有 一 种 背包 变型 ， 至 今 仍 然 是 安全 的 〈Chor-Rivest 背 包 -3561 ， 
尽管 有 “特殊 的 攻击 ”[7834 ) ， 但 其 计算 量 太 大 以 至 它 远 没有 这 里 讨论 
的 算法 有 用 。 有 一 种 称 为 Powerline System 的 变型 是 不 安全 的 998!) 。 
更 重要 的 是 ， 考 虑 到 其 他 变型 如 此 容易 攻破 ， 对 它们 寄 于 信赖 似乎 是 不 
可 取 的 。 


19.2.8 ”专利 


最 初 的 Merlde-Hdlman 算 法 在 美国 [720」 和 世界 各 国都 申请 了 专利 
( 见 表 19-1) 。 公 开 密 钥 协 会 PKP) 认可 了 此 专利 和 其 他 公开 密 钥 专 
利 《〈 参 见 25.5 节 ) 。 美 国 专利 于 1997 年 8 月 19 日 到 期 。 


表 19-1 不 同 国家 的 Merkle-Hellman 背 包 算 法 专利 








国家 专利 号 发 布 日 期 专利 号 发 布 日 期 
比利时 871039 1979/4/5 2843583 1982/6/3 
荷兰 7810063 1979/4/10 2857905 1982/7/15 
英国 2006580 1979/5/2 1128159 1982/7/20 
德国 2843583 1979/5/10 2006580 1982/8/18 
瑞典 7810478 1979/5/14 63416114 1983/1/14 
法 国 2405532 1979/6/8 1099780 1985/9/28 











19.3 RSA 算 法 


Merkle 背 包 算法 出 现 后 不 久 ， 出 现 了 第 一 个 较 完善 的 公开 密 钥 算 法 
RSA， 它 既 能 用 于 加 和 密 也 能 用 于 数字 签名 “1328、1329」 。 在 已 提出 的 公 
开 密 钥 算 法 中 ，RSA 是 最 容易 理解 和 实现 的 (Martin Gardner 在 
(Scientific American) “5994 的 数学 游戏 栏 中 发 表 对 这 个 算法 的 较 早 描 
述 ) 。 这 个 算法 也 是 最 流行 的 。RSA 以 它 的 三 个 发 明 者 Ron Rivest、Adi 
Shamir 和 Leonard Adleman 的 名 字 命 名 。 该 算法 已 经 经 受 住 了 多 年 深入 的 
密码 分 析 ， 虽 然 密码 分 析 者 既 不 能 证 明 也 不 能 否定 RSA 的 安全 性 ， 但 这 
恰恰 说 明 该 算法 有 一 定 的 可 信和 度 。 











RSA 的 安全 基于 大 数 分 解 的 难度 。 其 公开 密 钥 和 私人 密 钥 是 一 对 大 
素数 〈100 一 200 个 十 进 制 数 或 更 大 ) 的 函数 。 从 一 个 公开 密 钥 和 蜜 文中 
恢复 出 明文 的 难度 等 价 于 分 解 两 个 大 系数 之 积 。 





为 了 产生 两 个 密 钥 ， 选 取 两 个 大 系数 p 和 g。 为 了 获得 最 大 程度 的 安 
全 性 ， 两 数 的 长 度 一 样 。 计 算 乘 积 
n=pq 


PR Ja BENLER AR He, emi (p-1) (q-1) 互 素 。 最 后 用 欧 几 
里 得 扩展 算法 计算 解密 密 钥 d， 以 满足 


ed=1 mod (p-1) (q-1) 
则 


d=e! mod ( (p-1) (q-1) ) 





注意 d4 和 n 也 互 素 。e 和 n 是 公开 密 钥 ，d 是 私人 密 钥 。 两 个 素数 p 和 q 
不 再 需要 ， 它 们 应 该 被 舍弃 ， 但 绝 不 可 泄露 。 











加 和 密 消 恩 m 时 ， 首 先 将 它 分 成 比 n 小 的 数据 分 组 (采用 二 进 制 数 ， 
选取 小 于 pn 的 2 的 最 大 次 景 ) 。 也 就 是 说 ， 如 果 p 和 gq 为 100 位 的 系数 ， 那 
么 nD 将 有 200 位 ， 每 个 消 妃 分 组 mi 应 小 于 200 位 长 如果 你 需要 加 密 固定 
的 消 奶 分 组 ， 那 么 可 以 在 它 的 左边 填充 一 些 0 并 确保 该 数 比 n 小 ) 。 加 密 
后 的 密 文 c， 将 由 相同 长 度 的 分 组 ci 组 成 。 加 密 公 式 简 化 为 : 


c = m§(mod n) 


解密 消息 时 ， 取 每 一 个 加 密 后 的 分 组 ci 并 计算 ， 


m; = cf (mod n) 


由 于 


d e\d ed kí p—1) (9 一 1) 十 1 k -1)(qg—1 ù f- 
cf = (mi)? = mse = mE! =m, K ee? =m; X1l=m, HB Cmod n) 


这 个 公式 能 恢复 出 明文 ， 总 结 见 表 19-2。 


n: 两 素数 p 和 9g 的 乘积 Cp 和 9g 必须 保密 ) 


公开 密 钥 e 与 @-D@-D EX 
私人 密 钥 d: e '((mod (p—1)(g—1))) 
加 密 c=m* mod n 

解密 7 一 cd mod n 


表 19-2 ”RSA 解密 


消息 用 d 加 密 就 像 用 e 解 密 一 样 容 易 。 这 里 不 引入 数论 来 证 明 这 样 做 


为 什么 可 行 ， 现 在 的 许多 密码 学 教材 中 都 包括 了 这 些 细 市 。 


ER 


举 一 个 简单 的 例子 可 能 更 清楚 地 说 明 这 一 点 。 如 果 p=47，g=71， 那 


n=pq=3337 

加 密 密 钥 e 必 须 与 (p-1) (q-1) =46x70=3220 没 有 公 因 子 。 
随机 选取 e， 如 79， 那 么 

d=79-1 mod 3220=1019 


该 数 用 扩展 的 欧 几 里 得 算法 (参见 11.3 节 ) 计算 。 公 开 e 和 n， 将 d 保 
ZF pAlliq. 


JI T TEES 


ER 


m=6882326879666683 


首先 将 其 分 成 小 的 分 组 。 在 此 例 中 ， 按 3 位 数字 一 组 就 可 以 进行 加 


o XA BIG 分 成 6 个 分 组 m， 进行 加 密 : 


m1 =688 

m, =232 

ma =687 

m4 =966 

ms =668 

me =003 

第 一 个 分 组 加 密 为 : 

688 mod 3337=1570=c, 

对 随后 的 分 组 进行 同样 的 运算 产生 加 密 后 的 密 文 : 
c=15702756209122762423158 

解密 消息 时 需要 用 解密 密 钥 1019 进 行 相同 的 指数 运算 。 因 而 


15701019 (mod 3337) =688=m, 





消息 的 其 余部 分 可 用 同样 的 方法 恢复 出 来 。 


19.3.1 RSA 的 硬件 实现 


关于 RSA 的 硬件 实现 这 个 主题 已 经 在 文献 [1314、1474、1456、 
1316、1485、874、1222、87、1410、1409、1343、998、367、1429、 
523. 772] 中 都 有 介绍 。 较 好 的 综述 性 文章 见 文献 [258、872] 。 已 经 
制造 出 了 许多 实现 RSA 加 密 的 芯片 C1310, 252, 1101, 1317. 874; 65.. 737. 
594, 1275, 1563, 509, 1223 ] : 目前 正在 使 用 的 部 分 RSA 蕊 片 如 表 19-3 所 示 
L150. 258] 。 在 开放 市 场 内 不 是 所 有 芯片 都 能 买 到 。 


表 19-3 CVAMRSA® Fr 


每 512 位 加 密 











公司 时 钟 速度 每 512 位 波 特 率 的 时 钟 周期 技术 每 个 芯片 的 位 晶体管 数目 

Alpha Techn. 25MHz 13K . 98M 2 微米 1024 180 000 
AT&T 15MHz 19K .4M 1.5 微米 298 100 000 
British Telewm 10MHz Be TIK 1M 2.5 微米 256 一 

Business Sim. Ltd. 5MHz 3. 8K .67M 门 阵列 32 = 

Calmos Syst. Inc. 20MHz 28K . 36M 2 微米 593 95 000 
CNET 25MHz 5. 3K 2. 3M 1 微米 1024 100 000 
Cryptech 14MHz 17K .4M 门 阵列 120 33 000 
Cylink 30MHz 6. 8K 1.2M 1.5 微米 1024 150 000 
GEC Marconi 25MHz 10. 2K .67M 1.4 微米 512 160 000 
Pijnenbuig 25MHz 50K . 256M 1 微米 1024 400 000 
Sandia 8MHz 10K . 4M 2 微米 272 86 000 
Siemens 5MHz 8.5K .3M 1 微米 512 60 000 


19.3.2 RSA 的 速度 


硬件 实现 时 ，RSA 比 DES 慢 大 约 1000 倍 。 最 快 的 具有 512 位 模 数 的 
VLSI 硬件 实现 的 吞吐 量 为 64K 位 / 秒 .258」 。 也 有 一 些 实现 1024 位 RSA 
的 加 密 芯 请。 现今 设计 的 具有 512 位 模 数 的 心 片 可 达到 1Mb/s， 该 心 刻 在 
1995 年 制 成 。 在 智能 卡 中 已 大 量 实 现 了 RSA， 这 些 实现 都 较 慢 。 





软件 实现 时 ，DES 大 约 比 RSA 快 100 倍 。 这 些 数字 会 随 着 技术 发 展 
而 发 生 相应 的 变化 ， 但 RSA 的 速度 将 永远 不 会 达到 对 称 算法 的 速度 。 表 
19-4 给 出 了 RSA 软 件 速度 的 实例 [318」 。 


表 19-4 有 具有 8 位 公开 密 钥 的 RSA 对 于 不 同 长 度 模 数 的 加 密 速 度 〈 在 





SPARCII 中 ) 
512 位 768 位 1024 位 
加 密 0. 03 Fb 0. 05 秒 0. 08 Fb 
解密 0. 16 $b 0. 48 $b 0. 93 b 
签名 0. 16 $b 0. 52 b 0. 97 秒 
验证 0. 02 Fb 0. 07 秒 0. 08 秒 


19.3.3 ”软件 加 速 


如 果 你 很 聪明 地 选择 一 个 e 值 ，RSA 加 密 速度 将 快 很 多 。 最 常用 的 
三 个 e 值 是 3、17 和 65537 (216+1) (65537 的 二 进 制 表示 中 只 有 两 个 1， 
所 以 它 只 需要 17 次 乘法 来 实现 指数 运算 ) 。X.509 中 建议 采用 65537 
[304] ，PEM 中 建议 采用 3 [76」 ，PKCS#1 (参见 24.14 节 ) 中 建议 采用 
3 或 65537 [1345」 。 即 便 是 一 组 用 户 使 用 同样 的 e 值 ， 采 用 这 三 个 值 中 的 





任何 一 个 都 不 存在 安全 问题 “建议 你 用 随机 数 填 序 消息 一 一 参见 以 后 的 


Hy) 。 





假如 你 已 经 保存 了 p 和 g 值 ， 以 及 诸如 d mod (p-1) ~ qtdmod (g- 
1) 、modp 这 类 的 数 ， 那 么 运用 中 国 剩余 理论 就 能 使 私人 密 钥 的 运行 速 
度 加 快 [1283、1276」 。 这 些 数 很 容易 从 私人 密 钥 和 公开 密 钥 中 计算 出 
ae 


19.3.4 RSA 的 安全 性 


RSA 的 安全 性 完全 依赖 于 分 解 大 数 的 难度 。 从 技术 上 来 说 这 是 不 正 
确 的 ， 这 只 是 一 种 推测 。 从 数学 上 从 未 证 明 过 需要 分 解 n 才 外 
计算 出 m。 用 一 种 完全 不 同 的 方法 来 对 RSA 进 行 密码 分 析 还 只 是 一 种 想 
象 。 如 果 这 种 新 方法 能 让 密码 分 析 者 推算 出 d， 也 可 作为 分 解 大 数 的 一 
种 新 方法 。 我 对 此 还 不 其 担忧 。 


Er 
> 
pmm i 
(a>) 
+# 





Pam 


也 可 通过 猜测 (p-1) Cq-1) 的 值 来 攻击 RSA。 但 这 种 攻击 没有 分 


解 n 容 易 (1616) 。 


对 那些 持 极端 怀疑 态度 的 人 来 说 ， 有 些 RSA 的 变型 已 被 证 明和 大 数 
分 解 同样 困难 (参见 19.5 节 〉 。 也 可 参见 文献 [36]】 ， 它 给 出 了 从 RSA 
加 密 的 密 文 中 恢复 某 一 位 与 恢复 出 整个 文本 同样 困难 这 一 结论 。 











分 解 n 是 最 显而易见 的 攻击 方法 。 敌 方 手中 有 公开 密 钥 e 和 模 数 n， 
要 找到 解密 密 钥 dg， 他 们 残 必须 分 解 h。11.4 节 讨论 了 分 解 技 术 的 现状 。 
目前 ，129 位 十 进 制 数字 的 模 数 是 能 分 解 的 临界 数 。 所 以 ，n 应 该 大 于 这 
个 数 。 参 见 7.2 市 关于 公开 密 钥 长 度 的 讨论 。 


对 密码 分 析 者 而 言 ， 他 有 可 能 尝试 每 一 种 可 能 的 d， 直 到 获得 正确 
的 一 个 。 这 种 穷 举 攻击 还 没有 试图 分 解 n 更 有 效 。 


随 着 时 间 的 推移 ， 人 们 声称 已 经 找到 了 破译 RSA 的 简单 方法 ， 但 直 
到 现在 这 些 宣称 还 站 不 住 脚 。 举 例 来 说 ，1993 年 William Payne 的 论文 草 
案 中 提出 了 一 种 基于 费 尔 马 小 定理 的 方法 O 。 很 不 幸 ， 它 的 速度 
仍 比分 解 模 数 慢 。 


还 有 其 他 的 担心 。 大 多 数 用 于 计算 素数 p 和 qd 的 算法 是 有 概率 的 ， 假 
如 p 或 g 不 是 素数 又 如 何 呢 ? 很 好 ， 你 可 以 首先 找 出 这 件 事 发 生 尽 可 能 小 
的 概率 。 如 果 它 不 是 素数 ， 这 就 意味 着 加 密 和 解密 均 不 能 正确 地 工作 
你 马上 就 可 放弃 它 。 有 些 称 为 Carmichael 的 数 可 以 使 某 些 概率 算法 
检测 不 出 它 的 素数 性 。 它 们 非常 少 ， 但 它们 是 不 安全 的 ?46」 。 老 实 
说 ， 我 对 此 并 不 担心 。 














19.3.5 ”对 RSA 的 选择 密 文 攻击 


有 些 攻 击 专 门 针 对 RSA 的 实现 。 它 们 不 攻击 基本 的 算法 ， 而 是 攻击 





协议 。 仅 使 用 RSA 而 不 重视 它 的 实现 是 不 够 的 。 实 现 细节 也 很 重要 。 


情况 1: Eve 在 Alice 的 通信 过 程 中 进行 田 听 ， 设 法 成 功 选 取 一 个 用 
她 的 公开 密 钥 加 密 的 密 文 c。Eve 想 读 出 消息 。 从 数学 上 讲 ， 她 想得到 


m, 这 里 : 
m=C 


为 了 恢复 m， 她 首先 选取 一 个 随机 数 r， 满 足 r 小 于 n。 她 得 到 Alice 的 
公开 密 钥 e， 然 后 计算 : 


X=r mod n 

y=xc mod n 

t=r `t mod n 

如 果 x=remodn， 那 么 r=xdmodn。 


现在 ，Eve 让 Alice 用 她 的 私人 密 钥 对 y 签 名 ， 以 便 解 密 y (Alice 必 须 
对 消息 ， 而 非 消 息 的 散 列 值 签 名 ) 。 记 住 ，Alice 以 前 从 未 见 过 y。Alice 
发 送 给 Eve: 


u=ydmodn 


现在 Eve 计算 : 


1 yd 


tumodn=r 1ydmodn=r t xt ct mod n=c mod n=m 


Eve 现 在 就 获得 了 m。 


情况 2，Trent 是 一 个 公开 的 计算 机 公证 人 。 如 果 Alice 打 算 让 一 份 文 
件 被 公证 ， 她 将 它 发 送 给 Trent，Trent 将 它 用 RSA 进 行 数字 签名 ， 然 后 
发 送 回来 〈 这 里 没有 使 用 单 癌 散 列 函数 ，Trent 用 他 的 私人 密 钥 加 密 整 个 
消息 ) 。 





Mallory 想 让 Trent 对 一 个 Trent 本 来 不 愿 签名 的 消息 签名 。 或 许 它 有 
一 个 假 的 时 间 标 记 ， 或 许 是 另外 的 人 所 为 。 不 管 是 何 种 理由 ， 如 果 人 允许 
Trent 选择 的 话 ， 他 是 绝 不 会 对 它 签名 的 。 让 我 们 将 这 个 消息 称 作 为 m'。 


首先 ，Mallory 选 取 任 意 一 个 值 x， 计 算 y=xes mod n。 他 能 很 容易 地 
获得 e， 这 是 Trent 的 公开 密 铀 ， 必 须 公 开 以 便 用 来 验证 他 的 签名 。 然 
后 ， 他 计算 m=ym'modn， 并 将 mm 发 送 给 Trent 并 让 Trent 对 它 签 名 。Trent 
回 送 Mdmodn， 现 在 Mallory 计 算 (mdmodn) x1mod n， 它 等 于 n'y 


modn， 是 m' 的 签名 。 








实际 上 ，Mallory 可 以 用 多 种 方法 来 完成 相同 的 事 [423、458、486」 。 
他 们 利用 的 缺陷 都 是 指数 运算 保持 了 输入 的 乘积 结构 ， 即 


(xm) dmodn=xdmdmodn 


情况 3: Eve 想 让 Alice 对 ms 签名 。 她 产生 两 份 消息 mi 、m, ， 满 足 


ma =m; m, (modn) 


如 果 她 能 让 Alice 对 mi; Mm, 签名 ， 就 能 计算 ms : 


ms = (mt mod n) (ms mod n) 
WÈ: 绝对 不 要 对 陌生 人 提交 给 你 的 随机 消息 进行 签名 。 记 住 ， 要 
先 利 用 一 个 单 癌 散 列 函数 对 消息 进行 散 列 运算 。ISO 9796 分 组 格式 可 防 
止 这 种 攻击 。 


19.3.6 ”对 RSA 的 公共 模 数 攻击 


有 一 个 可 能 的 RSA 实 现 ， 每 个 人 具有 相同 的 n 值 ， 但 有 不 同 的 指数 e 
和 d。 不 幸 的 是 ， 这 样 做 是 不 行 的 。 最 显而易见 的 问题 是 ， 假 如 同一 个 
消息 用 两 个 不 同 的 指数 〈 模 数 相 同 〉 加 密 ， 且 这 两 个 指数 义 互 素 它们 
在 一 般 情况 下 会 如 此 ) 。 那 么 无 需 任何 一 个 解密 指数 就 可 以 恢复 出 明文 


[1457 ] 





设 m 是 明文 消息 ， 两 个 加 密 密 钥 为 et 和 e, ， 共 同 的 模 数 为 n。 两 个 


Cc, =m" mod n 


Co = m2 mod n 


密码 分 析 者 知道 |、ei 、es cy 和 cs ， 下 面 是 他 如 何 恢复 出 m 的 。 
由 于 el fle, 互 素 ， 由 扩展 欧 几 里 得 算法 能 找 出 z 和 s， 满 足 ， 
re, +se, =1 
假定 z 是 负数 (或 * 中 有 一 个 必须 是 负数 ， 此 处 假设 它 为 负数 ) ， 那 
么 再 用 欧 几 里 得 算法 可 计算 Ci ， 然 后 有 : 
(ea T X ch = m mod n 


对 这 类 系统 还 有 两 个 更 巧妙 的 攻击 方法 。 一 种 攻击 是 用 概率 方法 来 
分 解 n， 男 外 一 种 是 利用 一 种 确定 算法 而 非 利 用 分 解 模 数 来 计算 私人 密 
钥 。 两 种 攻击 在 文献 [449] 中 做 了 详细 的 描述 。 


WE: 不 要 在 一 组 用 户 之 间 共 享 n。 
19.3.7 ”对 RSA 的 低 加 密 指 数 攻 击 


在 RSA 加 密 和 数字 签名 验证 中 ， 如 果 选 取 了 较 低 的 e 值 可 以 加 快速 
度 ， 但 这 是 不 安全 的 V 。 如 果 你 采用 不 同 的 RSA 公 开 密 钥 和 相同 的 
effi, fe (e+1) /2 个 线性 相关 的 消 妃 加 密 ， 就 存在 一 种 能 攻击 该 系统 的 
方法 。 如 果 消 息 比 较 短 ， 或 者 消息 不 相关 ， 就 不 存在 这 个 问题 。 如 宁 消 
恩 相 同 ， 那 么 e 个 消息 就 够 了 。 阻 止 该 攻击 最 简单 的 方法 是 用 独立 随机 


值 填 充 消 息 。 这 也 能 保证 me mod nzme 。RSA 的 大 多 数 实现 中 (例如 ， 
PEM 和 PGP) ， 都 是 这 样 做 的 。 


WÈ: 在 加 密 前 要 用 随机 值 填充 消息 ， 以 确保 m 和 n 的 大 小 一 样 。 


19.3.8 对 RSA 的 低 解密 指数 攻击 


Michael Wiener 给 出 了 另外 一 种 攻击 ， 如 果 d 达 到 n 的 V4 大 小 ， 且 e 比 
n 小 ， 那 么 该 方法 可 以 恢复 d (1596) 。 假 如 e 和 d 随 机 选择 ， 则 该 攻击 很 
DRA; 假如 e 的 值 很 小 ， 则 它 不 可 能 发 生 。 


WHE: 选择 大 的 d。 


19.39 经验 


根据 这 些 成 功 的 攻击 L134 1115」 ，Jadith Moore 列 出 使 用 RSA 的 一 
些 限制 |: 


sy 
m 
larg 


道 了 对 于 一 个 给 定 模 数 的 一 个 加 / 解密 密 钥 指数 对 ， 攻 击 者 就 


知道 了 对 于 一 个 给 定 模 数 的 一 个 加 / 解密 密 钥 指数 对 ， 使 攻击 者 
无 需 分 解 n 就 可 以 计算 出 其 他 的 加 / 解密 对 。 


-在 通信 和 网络 中 ， 利 用 RSA 的 协议 不 应 该 使 用 公共 模 数 (这 一 点 从 
前 述 两 点 即 可 看 出 ) 。 


消 妃 应 用 随机 数 填充 以 避免 对 加 密 指 数 的 攻击 。 


-解密 指数 应 该 大 。 


记 住 ， 仅 有 一 个 安全 的 密码 算法 是 不 够 的 。 整 个 密码 系统 必须 是 安 
全 的 ， 密 码 协议 也 必须 是 安全 的 。 如 果 这 三 个 方面 中 任意 一 个 环节 出 了 





问题 ， 整 个 系统 就 是 不 安全 的 。 


19.3.10” 对 RSA 的 加 密 和 签名 攻击 





在 对 一 个 消 妃 加 冤 之 前 进行 签名 很 有 意义 《参见 2.7 节 ) ， 但 不 是 
所 有 人 都 这 样 做 。 有 一 种 攻击 在 签名 前 对 加 密 协 议 进 行 攻击 “44 。 








Alice 想 给 Bob 发 一 条 消息 。 衣 先 ， 她 用 Bob 的 公开 窗 钥 加 密 该 消 
恩 ， 然 后 用 目 己 的 私人 密 钥 对 它 签名 。 加 密 并 签名 的 消 恩 为 : 





(ms mod np) mod na 


下 面 看 看 Bob 如 何 宣称 Alice 发 送 给 他 的 是 m' 而 不 m。 因 为 Bob 知 道 
np 的 分 解 ( 是 他 的 模 数 ) ， 所 以 他 能 计算 出 针对 np 的 离散 对 数 。 因 
此 ， 他 要 做 的 只 是 找到 一 个 x 满足 : 


m” = m mod nz 
然后 ， 假 如 他 能 将 xep 作为 他 新 的 公开 指数 并 保留 np 为 其 模 数 时 ， 
他 就 能 宣称 Alice 已 经 用 他 的 新 指数 癌 他 发 送 了 加 蜜 消息 m'。 


在 某 些 情况 下 ， 这 是 一 个 特别 有 威胁 的 攻击 。 注 意 ， 散 列 函数 不 能 
解决 这 个 问题 ， 但 可 以 迫使 每 一 个 用 户 采 用 固定 的 加 密 指 数 。 


19.3.11 标准 


RSA 在 世界 上 许多 地 方 已 成 事实 上 的 标准 。ISO 几 乎 “但 没有 明 
确 ) 已 指定 RSA 用 作 数 字 签名 标准 。 在 ISO 9796 内 ，RSA 已 成 为 其 信息 
附件 “762」 。 法 国 银 行 界 也 使 RSA 标 准 化 (525) ， 澳 大 利 亚 也 是 如 此 
-1498」 。 美 国 现在 还 没有 公开 密 钥 加 密 标 准 ， 因 为 存在 NSA 和 专利 组 
织 的 压力 。 许 多 美国 公司 都 采用 RSA 数 据 安全 公司 编写 的 PKCS (参见 
24.14 节 ) 。ANSI 银 行 标准 的 草案 也 利用 RSA l 。 





19.3.12 专利 


RSA 算 法 在 美国 申请 了 专利 :1330」 ， 但 在 其 他 国家 无 专利 。PKP 
注册 了 此 专利 和 其 他 公开 密 钥 密码 专利 〈 参 见 25.5 节 ) 。 美 国 专利 将 于 
2000 年 9 月 20 日 到 期 。 


19.4 Pohlig-Hellman 算 法 


Pohlig-Hellman 加 密 方案 [1°91 类 似 于 RSA， 它 不 是 一 种 对 称 算 
法 ， 因 为 加 密 、 解 密 采 用 不 同 的 密 钥 。 它 也 不 是 一 种 公开 密 钥 方案 ， 
为 密 钥 很 容易 相互 推导 出 。 它 的 加 密 密 钥 和 解密 密 钥 都 要 保密 。 





类 似 于 RSA， 有 1: 


C=P£ mod n 


P=C¢ mod n 


其 中 = ed=1 (mod 某 些 复杂 数 ) 。 





与 RSA 不 同 ，n 不 是 依据 两 个 大 素数 来 定义 的 ， 它 还 必须 作为 私人 
密 钥 的 一 部 分 。 如 果菜 人 有 e 和 mn， 他 就 能 计算 出 4。 如 果 不 知道 e 或 d， 
则 不 得 不 计算 : 


e=logp C modn 





我 们 已 知道 这 是 一 个 难题 。 


eA 


Pohlig-Hellman 算 法 在 美国 [722」 和 加 拿 大 申请 了 专利 。PKP 注 册 
了 此 专利 和 其 他 公开 密 钥 专利 〈 参 见 25.5 节 ) 。 


19.5 Rabin 算 法 
Rabin 方 案 【1283、1601」 的 安全 性 基于 求 合 数 的 模 平 方 根 的 难度 。 这 
个 问题 等 价 于 因子 分 解 。 下 面 是 该 方案 的 描述 。 


首先 选取 两 个 素数 p 和 q， 两 个 都 同 余 3 模 4。 将 这 两 个 素数 作为 私人 
密 钥 ，n=pq 作 为 公开 和 密 钥 。 


加 密 一 个 消 轧 M 〈M 必 须 小 于 n) 时， 只 需 计 算 : 


C=M? mod n 





EAER, (AR URI HE. Hee AE p Allg, Hrt 
可 以 用 中 国 剩余 定理 解 两 个 同 余 式 。 计 算 : 

m; =C P+D 4 mod p 

m, = (p—C P 4) modp 

ma =c D /4 mod p 


m4 = (q-C P 4 ) modq 


然后 选择 整数 。a=q (qt modp) 和 整数 b=p (pt mod q) 。4 个 可 
能 的 等 式 为 : 


M; = (am, +bm; ) mod n 
M, = (am; +bm4 ) mod n 
M; = (am, +bm, ) mod n 
M, = (am, +bm, ) mod n 


这 4 个 结果 Mj . My. M3 AIM, 中 之 一 等 于 M。 如 采 消 息 是 英语 文 
本 ， 很 容易 选择 正确 的 Mi 。 另 一 方面 ， 如 果 消 息 是 一 个 随机 位 流 《〈 比 
如 说 ， 密 钥 产 生 或 数字 签名 ) ， 就 没有 办 法 决定 哪 一 个 Mi 是 正确 的 。 
解决 这 个 问题 的 方法 是 在 消息 加 密 前 加 入 一 个 已 知 的 标题 。 








Williams 方 案 

Hugh Williams 重 新 定义 了 Rabin 方 案 以 消除 其 缺陷 L16011 。 在 他 的 
方案 中 ，p 和 q 这 样 选取 : 

p=3 mod 8 

q=7 mod 8 

且 


N=pq 





还 有 一 个 小 整数 S， 满 足 ] (S, N) =-1 (J 是 雅 可 比 符号 参见 
11.3 节 ) 。N 和 SS 公开。 私人 密 钥 K 满 足 : 


k=1/2x (1/4x (p—1) x (q 一 1) +1) 


为 了 加 密 消 息 M， 计 算 ci EZM, NSD’, Ana, t 
算 M' =(S° XM) modN。 类 似 于 Rabin 方 案 ，C=M ”mod N, c =M 


mod 2。 最 后 的 密 文 是 三 重组 : 
(C G> C2) 
解密 C 时 ， 接 收 者 利用 
CK =+M" (mod N) 
计算 M"。M" 的 符号 由 cs 给 出 。 最 后 : 
M = (Sà X (—1)% XM) mod N 


Williams 在 文献 [1603. 1604. 1605] 中 进一步 改进 了 这 个 方案 。 
将 消息 平方 代 之 以 立方 。 大 素数 必须 同 余 1 模 3， 否 则 公开 密 钥 和 私人 密 
钥 相 同 。 更 好 的 是 ， 对 每 个 加 密 仅 有 唯一 的 解密 。 








Rabin 和 Williams 算 法 在 证 明 其 安全 性 取决 于 大 数 因子 分 解 上 比 RSA 
算法 有 优势 。 然 而 ， 它 们 对 选择 密 文 攻击 是 不 安全 的 。 如 果 你 打算 在 攻 





击 者 能 攻击 的 地 方 《例如 ， 在 数字 签名 算法 中 ， 攻 击 者 选择 签名 的 消 奶 
的 地 方 ) 使 用 这 些 算法 ， 要 保证 在 签名 前 使 用 单 回 散 列 函数 。Rabin 提 

出 了 另 一 种 抵抗 这 种 攻击 的 方法 : 在 每 条 消息 散 列 运算 和 签名 前 添加 一 
个 不 同 的 随机 串 。 不 幸 的 是 ， 一 旦 你 将 单 向 散 列 函数 添加 到 系统 中 ， 其 
安全 性 将 不 再 依赖 于 因子 分 解 ， 尽 管 添 加 的 散 列 值 在 实际 意义 上 对 系统 
没有 任何 削弱 。 











Rabin 算 法 的 其 他 变型 见 文 献 [972、909、696、697、1439、 
989) 。 文 献 [866. 889] 中 描述 了 二 维 变型 。 


19.6 ElGamal 算 法 





ElGamal 算 法 1518; 519] 既 可 用 于 数字 签名 又 可 用 于 加 密 ， 其 安全 
性 依赖 计算 有 限 域 上 离散 对 数 的 难度 。 


要 产生 一 对 密 钥 ， 首 先 选择 素数 p， 两 个 随机 数 g 和 x，g 和 x 都 小 于 


y=g* mod p 


公开 密 钥 是 y、g 和 p、g 和 p 可 由 一 组 用 户 共享 。 私 人 密 钥 是 x。 


19.6.1 ElGamal 签 名 


对 消 轧 M 签 名 时 ， 首 先 选择 一 个 随机 数 K，k 与 p-1 互 素 。 然 后 计算 
a=e* mod p 

利用 扩展 欧 几 里 得 算法 从 下 式 中 求 出 b: 

M= (xatkb) mod (p—1) 

签名 为 一 对 数 : a 和 b。 随 机 数值 k 必 须 保密 。 


为 了 验证 签名 ， 只 要 验证 : 


yè aP mod p=g™ mod p 








每 个 ElGamal 签 名 或 加 密 都 需要 一 个 新 的 k 值 ， 该 值 必须 随机 选取 。 
假如 Eve 曾 恢复 过 Alice 使 用 过 的 一 个 k， 她 就 能 恢复 Alice 的 私人 密 钥 x。 
假如 Eve 曾 用 同样 的 k 得 到 过 签名 或 加 密 的 两 个 消息 ， 甚 至 她 不 知道 消息 
是 什么 ， 她 也 可 以 恢复 x。 





表 19-5 总 结 了 这 种 方法 。 


ATE p: 素数 可 由 一 组 用 户 共享 ) 
g< (可 由 一 组 用 户 共享 ) 
y=g" (mod p) 

私人 密 钥 zr<p 

签名 k: 随机 选择 ,与 p 一 1 互 素 


a (签名 ) =g" (mod p) 





b (签名 ) WA M= (za 二 kb) mod (p—1) 
验证 如 果 yras (mod p) 二 gM (mod p) 认可 签名 有 效 


表 19-5 ElGamal 签 名 
例如 ， 选 择 p=11 和 g=2， 私 人 密 钥 x=8， 计 算 : 
y=g* (modp) =28 (mod 11) =3 
公开 密 钥 是 y=3，g=2 和 p=11。 
为 鉴别 M=5， 首 先 选择 随机 数 k=9， 验 证 gcd (9, 10) =1， 计 算 : 


a=gk (modp) =2? (mod11) =6 


利用 欧 几 里 得 算法 求 b: 

M= (axt+kb) mod (p-1) 

5= (8x6+9xb) mod 10 

解 是 b=3， 签 名 是 一 对 数 : a=6 和 b=3。 
验证 签名 时 ， 只 需要 确保 : 

yaap (modp) =gM (modp) 


3663 (mod11) =2° (mod 11) 


ElGamal 签 名 的 一 种 变型 在 文献 11377] 中 有 描述 。 
明了 一 种 适合 于 身份 证 明 的 ElGamal 方 案 的 变型 [146] 
适用 于 口令 验证 [32] ， 也 有 用 于 密 钥 交 换 的 [773] 


种 以 上 《参见 20.4 节 ) 。 


19.6.2 ”ElGamal 加 密 


ElGamal 方 案 的 一 种 修改 版 可 以 对 消息 进行 加 密 。 


首先 选择 随机 数 k， 只 要 k 与 p-1 互 素 。 然 后 计算 : 


a=gk mod p 


Thomas Beth 


。 还 有 一 些 变型 
。 这 类 变型 达 干 


b=y* M mod p 

a 和 b 是 密 文 对 。 注 意 ， 密 文 的 大 小 是 明文 的 两 倍 。 
解密 a 和 b 时 ， 计 算 : 

M=b/a* (mod p) 


因为 ax sgkx mod p 以 及 byax =y% M/a* =gxk M/gxk =M mod p 都 成 立 
( 见 表 19-6) ， 除 了 y 是 密 钥 的 一 部 分 以 及 通过 乘 以 yx 加密 外 ， 它 和 
Diffie-Hellman 密 钥 交 换 (参见 22.1 节 ) 几乎 一 样 。 


表 19-6 ElGamal 加 密 


公开 密 钥 p: 素数 (可 由 一 组 用 户 共享 ) 
gp〈 可 由 一 组 用 户 共 享 ) 
y=g* (mod p) 

私人 密 钥 Xx<p 

加 密 k: 随机 选择 ， 与 p 一 1 HER 
a ($X) =g* mod p 
b (#30) =y'M mod p 

解密 M (明文 ) =b/a* (mod p) 


19.6.3 ”速度 


表 19-7 给 出 了 ElGamal 的 软件 实现 速度 [918」 。 


表 19-7 具有 160 位 指数 的 EIGamal 对 于 不 同 长 度 模 数 的 速度 (在 
SPARCI 上 ) 


512 位 768 位 1024 位 





加 密 0. 33s 0. 80s 1. 09s 
解密 0. 24s 0. 58s 0.77s 
签名 0. 25s 0. 47s 0. 63s 
验证 1. 37s 5. 12s 9. 30s 


19.6.4 专利 


ElGamal 方 案 未 申请 专利 。 但 是 ， 当 你 继续 研究 实现 该 算法 时 ， 应 
该 知道 公开 密 钥 伙伴 PKP) 认为 该 算法 涉及 了 Diffie-Hellman 专 利 
L718] 。 但 是 ，Diffie-Hellman 专 利 将 于 1997 年 4 月 29 日 到 期 ， 到 那 时 使 
ElGamal 公 开 密 钥 加 密 算法 适用 于 加 密 和 数字 签名 领域 的 专利 将 在 美国 
不 受阻 得。 我 们 已 等 到 了 。 


19.7“MCcEliece 算 法 


1978 年 McEliece 研 究 出 了 一 种 基于 代数 编码 理论 的 公开 密 钥 密码 系 
统 【1041」 。 该 算法 使 用 了 一 类 称 为 Goppa 码 的 纠 错 编 码 的 存在 性 ， 其 思 
想 是 构造 一 个 Goppa 码 并 将 其 伪装 成 普通 的 线性 码 。 解 Goppa 码 有 一 种 
快速 算法 ， 但 要 在 线性 二 进 制 码 中 找到 一 种 给 定 大 小 的 代码 字 则 是 一 个 
NP 完全 问题 。 该 算法 的 详细 描述 见 文献 [1233] ， 也 可 见 文 献 
[1562] 。 下 面 是 其 摘要 。 





令 dH (X, Y) 表示 x 和 y 之 间 的 汉 明 距离 ， 数 n、k 和 t 是 系统 参数 。 


私人 密 钥 由 三 部 分 组 成 : G' 是 一 个 能 纠 t 个 错 的 kxn 阶 Goppa 码 发 生 
虱 和 矩阵 ，P 是 nxn 阶 置换 和 矩阵 ，S 是 kxk 阶 非 退化 滤 阵 。 


公开 密 钥 是 kxn 阶 矩阵 G : G=SG'P。 


明文 是 k 位 的 串 ， 以 GF (2) 上 的 k 维 同 量 表示 。 





加 密 消 妃 时 ， 随 机 选择 GF (2) 上 的 n 维 向 量 z:， 其 汉 明 距离 小 于 或 


Tt 
c=mG+2 


解密 时 ， 首 先 计算 c 二 cP” 。 然 后 用 Goppa 码 的 解码 算法 寻找 m'， 使 


之 满足 df (m'G, C) <t。 最 后 计算 m=m'S-! 。 


在 他 最 初 的 论文 中 ，McEliece 建 议 n 二 1024，t=50，k=524。 这 是 达 
到 安全 要 求 的 最 小 值 。 








尽管 该 算法 是 最 早 的 公开 密 钥 算法 之 一 ， 并 且 对 它 没 有 成 功 的 密码 
分 析 结 果 ， 但 是 它 从 未 获得 密码 学 界 的 广泛 接受 。 该 方案 比 RSA 快 两 三 
个 数量 级 ， 但 也 存在 着 多 个 问题 : 公开 密 钥 太 庞 大 ， 为 219 位 长 、 数 据 
扩展 太 大 ， 密 文 长 度 是 明文 的 两 倍 。 








对 该 系统 进行 密码 分 析 的 一 些 尝 试 见 文献 [8、943、1559、 
306] ， 这 些 均 没有 取得 一 般 意 义 上 的 成 功 ， 尽 管 McEliece 算 法 和 背包 
之 间 的 相似 性 使 人 担忧 。 








1991 年 ， 两 位 俄罗斯 的 密码 学 家 声称 采用 一 些 参数 破译 了 McEliece 
系统 [882」 。 他 们 的 论文 没有 证 据 证 实 他 们 的 结论 ， 大 多 数 密码 学 家 对 
此 结果 持 怀疑 态度 。 另 外 一 个 俄罗斯 的 攻击 [1447 1448] 不 能 直接 对 
McEliece 系 统 进行 攻击 。McEliece 的 扩展 可 在 文献 [424、1227、976 ] 
中 找到 。 


其 他 基于 线性 纠 错 编 码 的 算法 


Niederreiter 算 法 与 McEliece 算 法 紧密 相关 ， 假 设 公 开 密 钥 是 纠 错 编 


码 的 随机 奇偶 校 验 矩 阵 ， 私 人 密 钥 则 是 这 个 矩阵 的 有 效 解码 算法 。 


用 作 身 份 识 别 和 数字 签名 的 另 一 个 算法 基于 syndrome 解 码 (15011 
， 其 评论 见 文献 [306] 。 基 于 纠 错 编 码 的 算法 [1621」 是 不 安全 的 


L698; 33, 31, 1560 32] ` 


19.8 椭圆 曲线 密码 系统 





李 圆 曲线 已 研究 了 很 多 年 ， 关 于 这 方面 有 大 量 的 文献 。1985 年 ， 
Neal Koblitz 和 V.S.Miller 分 别提 出 将 它 用 于 公开 密 钥 密 码 体 制 L87 
1095] 。 他 们 没有 发 明 有 限 域 上 使 用 椭圆 曲线 的 新 的 密码 算法 ， 但 他 们 
用 李 圆 曲线 实现 了 已 存在 的 公开 密 钥 密码 算法 ， 如 Diffie-Hellman 算 法 。 


椭圆 曲线 的 吸引 人 之 处 在 于 它 提供 了 由 “元 素 * 和 “组 合 规则 ”来 组 成 
群 的 构造 方式 。 用 这 些 群 来 构造 密码 算法 具有 完全 相似 的 特性 ， 但 它们 
并 没有 减少 密码 分 析 的 分 析 量 。 例 如 ， 采 用 椭圆 曲线 就 没有 “平滑 ”的 概 
念 。 也 就 是 说 ， 在 一 个 随机 元 素 能 以 大 的 概率 被 一 个 简单 算法 表示 的 情 
况 下 ， 不 存在 小 元 素 的 集合 。 这 样 ， 离 散 对 数 算法 的 指数 计算 不 起 作 
用 。 文 献 [1095] 中 有 详尽 的 说 明 。 


有 限 域 GF(2? ) 上 的 椭圆 曲线 特别 有 趣 ， 域 上 的 运算 处 理 器 很 容 
易 构造 ， 并 且 n 在 130 一 200 位 之 间 的 实现 是 相当 简单 的 。 它 们 提供 了 一 
个 更 快 的 具有 更 小 密 钥 长 度 的 公开 密 钥 密码 系统 。 很 多 公开 密 钥 算法 ， 
如 Diffie-Hellman、ElGamal 和 Schnorr 可 以 在 有 限 域 上 用 椭圆 曲线 实现 。 


这 里 的 数学 原理 很 复杂 ， 超 出 了 本 书 的 范围 。 感 兴趣 的 读者 可 阅读 
上 面 提 到 的 两 篇 参考 文献 和 Alfred Menezes 的 优秀 读本 [1059」 HATE HH 
线 上 的 RSA 的 两 个 分 析 见 文献 [890、454] 。 其 他 论文 见 文献 【23、 


119、1062、869、152、871、892、25、895、353、1061、26、913 
914, 915] 。 文 献 L701] 中 讨论 了 有 具有 短 密 钥 的 椭圆 曲线 密码 系统 。 


Next 计 算 机 公司 的 快速 椭圆 加 密 (FEE) 算法 也 使 用 了 椭圆 曲线 L338] 
。FEE 还 有 一 个 好 的 特性 是 ， 私 人 密 钥 可 以 是 任何 容易 牢记 的 字符 串 。 
文献 L868, 870, 1441, 1214] 中 都 提出 了 使 用 椭圆 曲线 的 公开 密 钥 密 


thy 


码 系统 。 


19.9 LUC 算 法 


有 些 密码 学 家 已 研究 出 RSA 的 一 般 算 法 ， 它 采用 各 种 置换 多 项 式 取 
代 指 数 运算 。 一 种 称 为 Kravitz-Reed 的 变型 ， 采 用 了 不 可 约 的 二 项 式 


它 是 不 安全 的 [451 589] 。Winfried Miiiller 和 Wilfries 


[898] ， 
o Rudolph Lidl 和 


Nobauer 采用 了 Dickson 多 项 式 [1127、1128、965] 
Miiller 在 文献 L966, 1126] 中洲 用 了 该 方法 ( 称 为 REidi 方 采 的 一 种 变 


型 )，N6bauer 在 文献 [1172、1173] 中 研究 了 其 安全 性 。 (用 Lucas 
函数 产生 素数 的 内 容 在 文献 [969、967、968、598] FR) 。 尽 管 这 
些 是 已 有 技术 ， 但 来 自 新 泽 西 的 一 组 研究 人 员 试 图 在 1993 年 对 该 方案 申 
请 专利 ， 称 之 为 LUC [1486. 521, 1487] 

第 n 个 Lucas 数 V，(P，1) 定义 为 : 


V, (P, 1) =PV,, (P, 1) -V,，(P，1) 


还 有 更 多 的 关于 Lucas 数 的 理论 ， 我 都 不 予 考虑 。Lucas 序 列 的 一 种 
好 的 理论 处 理 见 [1307、1308] 。 一 种 非常 好 的 LUC 数 学 描述 见 


[1494, 708] 。 
无 论 如 何 ， 要 产生 公开 密 钥 /私人 密 钥 对 ， 首 先 要 找到 两 个 大 素数 p 
和 q。 计 算 p 和 qd 的 乘积 n。 加 密 密 钥 e 是 随机 数 ， 并 与 p-1、q-1、p+1 和 


qd+1 互 素 。 
4 种 可 能 的 解密 密 钥 为 : 
d=e lmod (lcm ( (p+1) , (g+1) ) ) 
d=e 1mod (lem ( (p+1), (gq—1) ) ) 
d=e 1mod (lem ( (p—1), (gq+1) ) ) 
d=e 1mod (lem ( (p—1), (q-1) ) ) 
其 中 lcm 是 最 小 公 倍数 。 
公开 密 钥 是 4 和 n， 私 人 密 钥 是 eg 和 n。 丢 弃 p 和 8g。 
加 密 消息 P〈P 必 须 小 于 n) 时 ， 计 算 : 
C=V, (P, 1) (modn) 
解密 为 : 
p=V, (P, 1) (modn) 使 用 适当 的 d 


LUC 最 多 能 达到 RSA 的 安全 级 。 目 前 ， 有 一 些 未 公开 的 结果 表明 ， 
至 少 在 某 些 实现 中 可 破译 LUC， 我 不 相信 这 个 算法 。 





19.10 有限 目 动 机 公开 密 钥 密码 系统 











中 国 密码 学 家 陶 仁 怠 发 明了 一 种 基于 有 限 自 动机 的 公开 和 密 钥 算法 
[1301、1302、1303、1300、1304、666] 。 就 像 分 解 两 个 大 素数 的 乘积 很 困难 一 
样 ， 分 解 两 个 有 限 自 动机 的 合成 也 很 困难 。 假 如 其 中 的 一 个 或 两 个 是 非 
线性 时 ， 那 就 更 困难 了 。 


该 领域 的 大 量 研究 发 生 在 20 世 纪 80 年 代 的 中 国 ， 并 以 中 文公 开发 
表 。 陶 仁 号 开始 用 英语 发 表 论 文 。 他 的 主要 结论 为 : 菜 些 非 线 性 自动 机 
CEA BILD 当 且 仅 当 它们 有 茶 种 梯形 矩阵 结构 时 ， 上 共有 弱 的 可 逆 性 。 
如 果 是 其 他 和 矩阵 结构 (甚至 是 线性 结构 ) ， 它 就 不 具有 该 特性 。 在 公开 
密 钥 算法 中 ， 私 人 密 钥 就 是 一 个 可 逆 的 准 目 动机 ， 也 是 线性 自动 机 ， 相 
应 的 公开 密 钥 就 由 它们 逐 项 相 乘 来 获得 。 数 据 经 过 公开 的 目 动 状态 机 后 
加 密 ， 解 密 经 过 有 上 述 目 动 状态 机 的 各 个 组 件 的 反 回 路 径 得 到 《〈 在 东 些 
情况 下 ， 它 们 设置 成 适当 的 初始 化 值 〉》。 该 方案 可 用 于 加 密 和 数字 签 
名 。 











该 系统 的 性 能 概括 地 说 像 McElience 系 统 ， 它 们 运行 比 RSA 快 ， 但 
也 需要 更 长 的 密 钥 。 要 获得 与 512 位 RSA 相 似 的 安全 性 ， 密 钥 长 度 应 为 
2792 位 ; 而 要 获得 与 1024 位 RSA 相 似 的 安全 性 ， 密 钥 长 度 应 为 4152 位 。 
企 一 台 33MHz 的 80486 上 运行 前 一 种 情况 ， 系 统 加 密 数 据 速 率 为 20869 字 





WAA, 解密 数据 速率 为 17117 字 市 / 秒 。 


陶 仁 经 公开 了 三 个 算法 。 第 一 个 为 FAPKC0。 这 是 系统 很 弱 ， 使 用 
了 线性 组 件 ， 且 主要 用 于 解释 。 另 外 两 个 重要 的 系统 为 FAPKC1 和 
FAPKC2， 每 一 个 都 采用 了 线性 和 非 线 性 的 组 件 。 后 者 更 复杂 ， 研 究 的 
目的 是 为 了 进行 身份 鉴别 。 











对 于 这 些 算法 的 强度 ， 中 国 在 这 方面 已 经 做 了 很 多 研究 工作 (有 30 
多 个 研究 机 构 公 开 了 密码 学 和 安全 方面 的 论文 ) 。 人 们 可 从 相当 多 的 中 
文 文献 中 了 解 对 该 问题 的 研究 。 





FAPKC1 和 FAPKC2 一 个 可 能 的 吸引 力 是 它们 没有 获得 任何 美国 专 
利 。 因 此 ， 一 旦 Diffie Hellman 专 利 在 1997 年 过 期 ， 它 们 将 毫 无 疑问 地 成 
为 公开 的 讨论 对 象 。 


第 20 章 ”公开 密 钥 数字 签名 算法 


20.1 数字 签名 算法 


1991 年 8 月 ，NIST 提 出 了 数字 签名 算法 DSA) 用 于 他 们 的 数字 签 
名 标准 CDSS) 中 。 根 据 《Federal Register) |5381 : 


在 此 提出 一 种 数字 签名 标准 (DSS) 的 联邦 信息 处 理 标 准 
(FIPS) 。 该 标准 规定 了 一 种 适用 于 联邦 数字 签名 应 用 中 的 公开 密 钥 数 
字 签 名 算法 (DSA) 。DSS 使 用 公开 密 钥 ， 为 接收 者 验证 数据 的 完整 性 
和 数据 发 送 者 的 里 份 。 它 也 可 用 于 由 第 三 方 去 确定 签名 和 所 签 数据 的 真 
实 性 。 





该 标准 采纳 了 用 一 对 变换 去 产生 和 验证 称 为 签名 的 数值 的 公开 密 钥 
签名 方案 。 


FH: 


FIPS 是 经 过 对 许多 种 可 选 的 数字 签名 技术 进行 评价 之 后 提出 的 。 
NIST 遵 循 1987 年 的 计算 机 安全 法 案 第 二 节 中 的 规定 做 出 选择 ， 该 规定 
要 求 NIST“.……. 确 保 以 最 低 的 成 本 实现 联邦 信息 最 有 效 的 安全 性 和 保密 
性 ， 并 且 在 多 种 具有 相当 安全 性 的 方法 中 选择 操作 性 和 使 用 性 最 好 的 那 





进行 这 次 选择 时 考虑 的 因 系 有 安全 程度 、 软 件 和 硬件 实现 的 容易 程 
度 、 从 美国 出 口 的 容易 程度 、 专 利 的 适用 范围 、 对 国家 安全 和 法 律 执行 
的 影响 程度 ， 以 及 签名 和 验证 函数 的 效 紊 。 许 多 技术 都 能 对 联邦 系统 提 
供 合适 的 保护 。 选 用 的 技术 应 具有 如 下 的 特点 : 








NIST 期 望 使 用 它 无 专利 问题 ， 公 开 的 可 用 性 有 利于 该 技术 的 广泛 
使 用 ， 这 将 给 政府 和 公众 带 来 经 济 利益 。 


选用 的 技术 应 保证 在 智能 卡 应 用 中 有 效 地 实现 签名 操作 。 在 这 些 应 
用 中 签名 操作 应 在 计算 能 力 适 中 的 智能 卡 环 境 中 进行 ， 而 验证 过 程 可 在 
计算 能 力 较 强 的 环境 中 实现 ， 如 个 人 计算 机 、 硬 件 密 码 模块 和 大 型 计算 
机 。 


为 了 不 引起 混 消 ， 我 们 再 回顾 一 下 术语 : DSA 是 算法 ，DSS 是 标 
准 。 标 准 采 用 算法 ， 算 法 是 标准 的 一 部 分 。 


20.1.1 对 通告 的 反应 








NIST 的 通告 引起 了 大 量 的 非 难 和 谴责 。 遗 憾 的 是 ， 它 的 政治 性 多 
于 学 术 性 。RSA 算 法 的 供应 商 RSADSI 站 在 反对 DSS 的 前 沿 ， 他 们 希望 
是 RSA 而 不 是 另 一 种 算法 成 为 标准 。 该 公司 花 了 大 量 经 费 来 获得 RSA 算 





法 的 专利 许可 权 ， 因 而 无 专利 权 的 数字 签名 标准 将 会 直接 影响 他 们 的 收 
A GE: RSA 未 必 是 毫 无 专利 侵权 的 ， 这 一 点 将 在 后 面 讨论 ) 。 





在 该 算法 公布 之 前 ，RSADSI 曾 发 起 了 一 场 反 对 “公共 模 数 ”的 运 
动 ， 理 由 是 它 可 能 使 政府 具有 伪造 签名 的 能 力 。 而 当 公布 的 算法 没有 这 
种 公共 模 数 之 后 ， 他 们 又 以 向 NIST 写 信和 和 向 新 闻 界 发 表 声明 的 方式 ， 
从 其 他 方面 对 它 攻击 :154」 ( 写 给 NIST 的 4 封 信 见 文献 [1326] 。 阅 读 
这 些 信 件 时 ， 不 要 忘 了 其 中 人 至少 有 两 位 作者 Rivest 和 Hellman 不 赞成 将 
DSS 用 于 金融 方面 ) 。 











许多 已 经 取得 RSA 算 法 专利 许可 权 的 大 型 软件 公司 也 站 出 来 反对 
DSS。1982 年 ， 美 国政 府 征求 用 于 标准 的 公开 密 钥 算 法 “5374 ， 其 后 九 
年 NIST 未 透露 一 点 消 轧 。IBM、 芋 有 果 、 网 威 、 连 人 花 、 北 方 电信 、 微 软 ， 
DEC 和 SUN 等 公司 已 经 投入 大 量 的 资金 来 实现 RSA 算 法 ， 他 们 当然 不 项 
望 这 些 资 金 白白 流失 。 





到 1992 年 2 月 28 日 第 一 次 征求 意见 结束 时 ，NIST 共 收 到 109 篇 评 


我 们 逐一 看 看 这 些 反 对 DSA 的 评论 。 


(1) DSA 不 能 用 于 加 密 或 密 钥 分 配 。 





确实 如 此 ， 但 这 不 是 该 标准 的 主要 问题 。 这 是 一 个 签名 标准 ， 


NIST 应 该 有 一 个 公开 密 钥 加 密 的 标准 。NIST 没 有 提供 一 个 公开 密 钥 加 
密 标 准 对 美国 人 极 不 公平 。NIST 推 荐 一 个 不 能 用 于 加 密 的 数字 签名 标 
准 的 动机 值得 怀疑 (虽然 变换 形式 它 也 能 用 于 加 密 
这 并 不 是 说 该 签名 标准 蝇 无 用 处 。 


参见 23.3 节 ) 。 











(2) DSA 赴 由 NSA 研 制 的 ， 并 且 算法 中 可 能 存在 陷 门 。 


最 初 的 许多 评论 源 于 密码 学 家 的 妄想 症 : NIST 270 HE FB Ha TB E 
议 ， 不 仅 不 能 使 人 对 DSS 充分 信任 ， 反 而 令 人 担心 其 后 是 否 隐 藏 着 什 
么 ， 如 全 国 的 公开 密 钥 密码 系统 是 建立 在 它 很 容易 被 NIST 和 NSA 破 译 
的 基础 上 [154] 。Bellcore 的 Arjen Lenstra 和 Stuart Haber 的 确 得 出 了 有 关 
DSS 安全 性 的 一 个 严重 问题 ， 关 于 这 一 点 后 面 将 详细 讨论 。 











(3) DSA 比 RSA 慢 [L800] 。 


大 致 是 这 样 的。 两 者 产生 签名 的 速度 相同 ， 但 验证 签名 时 DSA 慢 10 
一 40 倍 。 其 密 钥 产生 比 RSA 快 。 但 是 密 钥 产生 关系 不 大 ， 用 户 很 少 做 这 
项 工作 。 签 名 和 验证 才 是 最 常用 的 操作 。 





这 种 批评 存在 的 问题 是 可 用 多 种 方法 对 参数 进行 测试 ， 取 决 于 你 所 
想得到 的 结果 。 预 先 计算 可 以 加 快 DSA 的 签名 ， 但 这 并 不 可 行 。RSA 的 
文 持 者 使 用 优化 的 数 来 使 计算 更 容易 ，DSA 文 持 者 也 有 他 们 自己 的 优化 
音 施 。 总 之 ， 计 算 机 越 来 越 快 。 尽 管 存在 着 差别 ， 但 在 大 多 数 应 用 中 并 
不 明显 。 





(4) RSA 是 一 个 事实 上 的 标准 。 


有 两 个 这 种 申述 的 例子 。IBM 的 标准 规划 主任 Robert Follett 说 


[570] . 





IBM 关 心 的 是 NIST 没 有 采纳 国际 标准 ， 而 是 提出 了 另 一 种 数字 签名 
方案 的 标准 。 用 户 和 用 户 组 织 已 经 使 我 们 相信 ， 在 不 久 的 将 来 采用 RSA 
的 国际 标准 是 销售 安全 产品 的 先决 条 件 。 


摩托 罗拉 副 总 裁 兼 MIS 和 通信 部 主任 Les Shroyer X: 


我 们 必须 拥有 一 种 单一 的 、 坚 固 的 并 且 是 政治 上 可 以 接受 的 数字 签 
名 标准 ， 它 可 通用 于 全 世界 、 美 国 和 非 美 国 、 摩 托 罗 拉 和 非 摩托 罗拉 都 
可 使 用 。 在 过 去 八 年 中 ， 由 于 缺乏 其 他 成 熟 的 数字 签名 技术 ，RSA 已 成 
为 了 事实 上 的 标准 .…… 摩 托 罗拉 公司 和 其 他 许多 公司 .…… 已 经 投入 数 百 
万 美元 用 于 RSA。 我 们 为 两 种 不 同 标准 之 间 的 互 操作 性 和 相互 文 持 而 忧 
虑 ， 这 种 情形 将 带 来 额外 的 成 本 ， 并 使 推广 使 用 延期 和 复杂 化 .…… 


许多 公司 希望 NIST 采 纳 使 用 RSA 的 国际 数字 签名 标准 ISO 9796 
[762] 。 虽 然 理 由 比较 正当 ， 但 对 一 个 标准 来 说 并 不 是 十 分 恰当 ， 无 专 
利 权 的 标准 带 给 美国 公众 的 好 处 要 大 得 多 。 


(5) DSA 的 选择 过 程 不 公开 ， 并 且 提 供 的 分 析 时 间 不 充分 。 


NIST 先 是 称 是 他 们 设计 了 DSA， 后 来 义 承 认 NSA 帮 助 过 他 们 。 最 


后 ， 他 们 证 实 是 NSA 设 计 了 该 算法 。 这 使 许多 人 感到 担心 ，NSA 不 能 使 
人 人 信任。 尽管 如 此 ， 算 法 是 公开 的 和 可 分 析 的 ， 并 且 NIST 延 长 了 分 析 
和 评论 的 时 间 。 


(6) DSA 可 能 侵犯 其 他 专利 。 
这 是 可 能 的 ， 将 在 有 关 专 利 的 地 方 详细 讨论 。 
(7) 密 钥 长 度 太 小 。 


这 是 对 DSS 的 唯一 合理 的 批评 。 最 初 的 实现 将 模 数 设置 为 512 位 
[1149」 。 由 于 算法 的 安全 性 依赖 于 计算 模 数 的 离散 对 数 的 难度 ， 因 此 
许多 密码 学 家 对 此 忧心 虱 虱 。 在 有 限 域 上 计算 离散 对 数 的 问题 已 有 进 
展 ， 对 长 期 的 安全 性 来 说 512 位 太 小 《参见 7.2 作 ) 。 据 Brian LaMacchia 
和 Andrew Odlyzko 称 :“..…: 即 使 是 512 位 的 素数 也 只 能 提供 勉强 合格 的 
BAPE. -9344 NIST 对 该 批评 做 出 的 反应 是 使 该 密 钥 长 度 可 变 ， 变 
化 范围 从 512 一 1024 位 。 没 有 大 的 变化 ， 但 更 好 。 


1994 年 5 月 19 日 ， 该 标准 最 终 颁 布 (1154) 。 有 颁布 的 声明 指出 [542] 


该 标准 适用 于 所 有 联邦 部 门 和 机 构 保护 非 密 信息 .……: 该 标准 将 用 来 
设计 和 执行 基于 签名 方案 的 公开 密 钥 ， 该 签名 方案 用 于 联邦 部 门 和 机 构 
以 及 他 们 的 合同 。 该 标准 也 可 被 个 人 和 商业 组 织 采 纳 和 使 用 。 








如 果 打 算 在 新 产品 中 使 用 和 执行 该 标准 ， 请 读 一 读 专利 这 一 节 
(20.1.11 节 ) 的 内 容 。 


20.1.2 DSA Fiz 


DSA 是 Schnorr 和 ElGamal 签 名 算法 的 变型 ， 在 文献 [1154] FAX 
于 它 完 整 的 描述 。 算 法 中 用 到 了 以 下 参数 : 


p 是 L 位 长 的 素数 ， 其 中 L 从 512 一 1024 且 是 64 的 倍数 〈 在 标准 的 最 
初版 本 中 ，p 的 长 度 固定 为 512 位 。 这 引起 了 许多 批评 ， 之 后 NIST 改 变 
Te. 


qd 是 160 位 长 且 与 p-1 互 素 的 因子 。 


g=h P-D /qmodp， 其 中 h 是 小 于 p-1 并 且 满 足 h PP /Imod pKF1 
的 任意 数 。 


x 是 小 于 q 的 数 。 
y=g* mod p. 


另外 ， 算 法 使 用 一 个 单 向 散 列 函数 H (m) 。 标 准 指定 了 安全 散 列 
算法 (SHA) ， 详 细 的 讨论 见 18.7 节 。 


前 面 的 三 个 参数 p、q 和 8 是 公开 的 ， 且 可 以 被 网 络 中 所 有 的 用 户 公 


。 私 人 密 钥 是 zx， 公开 密 钥 是 y。 

对 消息 mm 签名 时 : 

(1) Alice 产 生 一 个 小 于 q 的 随机 数 k。 
(2) Alice” Æ: 

r= (gk mod p) mod q 

s= (k 1 (H (m) +xr) ) modq 

TA Sik re RAN SE A RR ERIS 2A Bob » 
(3) Bob 通 过 计算 来 验证 签名 : 

w=s 1modq 

u= (H Gm) xw) modq 


u: = (rw) mod q 


v= ((g" X y2) mod p) mod q 
如 果 v=r， 则 签名 有 效 。 


有 关 数 学 关系 的 证 明 见 文献 [1154] ， 表 20-1 给 出 了 DSA 签 名 的 小 


表 20-1 DSA 签 名 


公开 密 钥 
p 512 一 1024 位 的 素数 (可 以 在 一 组 用 户 中 共享 ) 
q 160 位 长 ， 并 与 p 一 1 互 素 的 因子 〈 可 以 在 一 组 用 户 中 共享 ) 
g=h?-/a mod p， 其 中 小 于 p 一 1 并且 hO? /qhi p>) (可 以 在 一 组 用 户 中 共享 ) 
y=g" mod p (一 个 pp 位 的 数 ) 
私人 密 钥 
r<q (一 个 160 位 的 数 ) 
签名 
kk 选取 小 于 gq 的 随机 数 
r(4%)=(g* mod p) mod q 
s(44%)=(k7! (Hm) + xr)) mod q 
验证 


1 


w=s ! mod q 


uj = (H(m) Xw) mod q 
uz: =(rw) mod q 
v= ((g"ı X y"2) mod p) mod q 


如 果 v 一 ”~， 则 签名 被 验证 


20.1.3 ”快速 预计 算 


表 20-2 给 出 了 DSA 的 软件 速度 的 例子 [918 


表 20-2 具有 160 位 指数 的 DSA 对 于 不 同 长 度 模 数 的 速度 〈 在 SPARCII 
E) 





512 位 768 位 1024 位 
签名 0. 20s 0. 43s 0. 57s 
验证 0. 35s 0. 80s 1.278 








实际 上 ， 实 现 DSA 时 可 通过 预计 算 来 加 快速 度 。 注 意 r 的 值 与 消 奶 
无 天 ， 因 此 可 以 产生 一 串 随 机 的 k， 并 且 预 先 计 算出 与 之 对 应 的 r 值 ， 还 
可 以 对 每 个 k 值 预先 计算 kr 。 这 样 ， 一 旦 有 消息 ， 对 给 定 的 r 和 k- 就 可 


thks. 


这 种 预先 计算 大 大 加 快 了 DSA。 表 20-3 是 在 智能 卡 中 实现 DSA 和 
RSA 的 计算 时 间 的 比较 -14791 。 


表 20-3 RSA 和 DSA 计 算 时 间 的 比较 





DSA RSA Pa g 公有 
全 局 计算 卡 外 〈P) N/A 上 外 (P) 
富 钥 产生 lds 卡 外 ©) 4 
预计 算 lds N/A 4 
签名 0. 0 l 0. ( 
验证 1€ 1:58 10 
1 一 5s， 卡 外 (P) 1 一 3s， 卡 外 (P) 


注 : 卡 外 计算 在 33MHz 的 80386 个 人 机 上 进行 。 (P) 表示 公开 参 
数 ，(S) 表示 秘密 参数 。 两 种 算法 都 使 用 512 位 模 数 。 


20.1.4 DSA 的 素数 产生 


Lenstra 和 Haber 指 出 某 些 模 数 比 其 他 模 数 更 容易 破解 “9504 。 如 果 
有 人 用 了 一 个 这 种 “杜撰 的 ” 模 数 ， 那 么 其 签名 束 很 容易 伪造 。 但 这 不 成 
为 一 个 问题 ， 理 由 有 二 : 首先 ， 真 正 具 有 这 种 特性 的 模 数 很 容易 检测 出 
来 。 其 次 ， 这 种 模 数 非常 少 ， 随 机 选择 模 数 时 碰 到 它们 的 机 会 很 小 
实际 上 比 用 概率 素数 产生 方法 得 到 的 合 数 还 小 。 





NIST 在 [1154」 中 推荐 了 一 种 产生 素数 p 和 gq 的 方法 ， 其 中 gq 能 整除 
p-1。 素 数 p 为 位 ， 介 于 512 一 1024 位 ， 是 64 的 倍数 。 素 数 q 是 160 位 。 设 


L-1=160n+6， 其 中 工 是 p 的 长 度 ，n 和 b 是 两 个 数 并 且 b 小 于 160。 
(1) 选取 一 个 至 少 160 位 的 任意 序列 ， 称 为 S。 设 g 是 $ 的 位 长 度 。 


(2) 计算 U=SHA (S) @SHA ( (S+1) mod 28 ) ，SHA 是 安全 散 
列 算法 〈 参 见 18.7 节 ) 。 





(3) 将 U 的 最 高 位 和 最 低位 置 为 1 形成 q。 





(4) 检验 q 是 否 是 素数 。 

(5) 如 果 g 不 是 素数 ， 回 到 第 (1) 步 。 

(6) #%C=0, N=2. 

(7) ¥{k=0, 1, ..., n, @V,=SHA ( (S+N+k) mod 28 ) 


(B) Wea 20 WV ott ln Vmod 2? 


>, WA, AxX=w+2ll, HERXELIZKWAL. 
(9) 4p=X- ( (X mod 2q) -1) 。 注 意 p 同 余 1 模 2q。 


(10) A@p<2-!, Fea (13) w. 





(11) 检测 p 是 否 为 素数 。 


(12) 如 果 p 是 素数 ， 转 到 第 (15) 步 。 


(13) 4C=C+1, N=N+n+1. 
(14) 如 C=4096， 转 到 第 (1) 4; Al, BBB (7) 步 
(15) 将 用 于 产生 p 和 q 的 S 和 C 值 保存 起 来 。 


在 文献 [1154] 中 ， 变 量 S 称 为 < 种子 *"，C 称 为 “计数 ”，N 称 为 “ 偏 


这 表明 存在 着 公开 的 方法 来 产生 p 和 q。 实 际 上 ， 这 种 方法 能 杜 
绝 “ 杜 撰 的 ”p 和 q 值 的 产生 。 如 果 茶 人 给 你 一 个 p 和 一 个 qg， 你 可 能 会 想 知 
道 他 是 从 哪里 得 到 它们 的 。 但 是 ， 如 果 给 你 的 是 产生 随机 p 和 gq 的 S 和 C 
的 值 ， 你 就 可 以 自己 进行 这 个 过 程 。 单 问 散 列 函 数 SHA 的 使 用 能 防止 他 
人 在 背后 做 手脚 。 


这 样 做 的 安全 性 比 RSA 高 。 在 RSA 中 ， 素 数 是 秘密 保存 的 。 某 人 可 
能 产生 假 素 数 或 容易 分 解 的 特殊 形式 的 素数 ， 除 非 你 知道 私人 密 钥 ， 
则 你 不 知道 这 一 点 。 而 这 里 ， 即 使 你 不 知道 私人 密 钥 ， 你 也 可 以 确信 p 
和 g 是 随机 产生 的 。 


20.1.5 ”使 用 DSA 的 ElIGamal 加 密 


曾经 有 人 断言 政府 偏 受 DSA， 因 为 它 仅 仅 是 数字 签名 算法 而 不 能 用 
于 加 密 。 尽 管事 实 如 此 ， 但 是 调用 DSA 函 数 进行 ElGramal 加 密 是 可 能 


的 。 
假定 DSA 算 法 由 单个 函数 调用 来 实现 : 
DSAsign (p, q, g, k, x, h, r, s) 


给 出 p、q、g、k、x 和 h， 了 函数 返回 签名 参数 r 和 s。 





用 公开 密 钥 y 对 消息 mm 进行 ElIGamal 加 密 时 ， 选 择 一 个 随机 数 kK， 并 
调用 : 


DSAsign (p; p; g, k, 0, 0, r, s) 

r 值 返回 的 是 ElGamal 方 案 中 的 a，s 弃 之 不 用 ， 然 后 调用 : 
DSAsign (p; p, y, k, 0, 0, r, s) 

将 r 的 值 记 为 u，s 弃 之 不 用 ， 调 用 : 

DSAsign (p; p. m, 1, u, 0, r, s) 


放弃 r。 返 回 的 s 值 即 是 ElIGamal 方 案 中 的 b。 这 样 就 得 到 了 密 文 a 和 


解密 很 容易 。 使 用 私人 密 钥 x、 密 文 a 和 b， 调 用 : 


DSAsign (p; p; a, x, 0, 0, r, s) 


r 的 值 是 ax 模 p， 记 为 e。 然 后 调用 : 
DSAsign (p; p; 1, e, b, 0, r, s) 
sH{E mtz HA cm. 


这 种 方法 并 不 是 对 所 有 的 DSA 实 现 都 行 得 通 ， 某 些 实 现 可 能 会 固定 
p 和 qd 的 值 ， 或 者 固定 其 他 参数 的 长 度 。 只 要 实现 具有 充分 的 通用 性 ，:; 
就 是 用 数字 签名 函数 进行 加 密 的 一 条 途径 。 


XK 


20.1.6 ”使 用 DSA 的 RSA 加 密 


RSA 加 密 更 为 简单 。 使 用 模 数 n、 消 息 m 和 公开 密 钥 e， 调 用 : 
DSAsign (n, n, m, e, 0, 0, r, s) 
返回 的 r 值 就 是 密 文 
RSA 解 密 可 用 同样 的 方法 。 如 果 d 是 私 铀 ， 则 : 
DSAsign (n, n, m, d, 0, 0, r, s) 


明文 是 返回 的 r 值 。 


20.1.7 DSA 的 安全 性 


512 位 的 DSA 不 能 提供 长 期 的 安全 性 ， 而 1024 位 则 可 以 。 


NSA 在 其 关于 这 个 问题 的 第 一 次 公开 访谈 中 ， 推 荐 了 Joe Abernathy 
的 《The Houston Chronicle》， 它 是 针对 DSS 中 有 陷 门 这 个 断言 的 363 


谈 及 所 谓 的 DSS$ 中 的 陷 门 ， 我 们 发 现 术语 陷 门 有 点 使 人 误解 ， 因 为 
它 上 暗示 用 DSS 发 出 的 消 妃 被 加 密 ， 并 且 通 过 一 个 陷 门 存 取 ， 而 茶 人 能 以 
菏 种 方法 解密 《〈 读 ) 该 消息 ， 而 无 需 了 解 发 送 者 。 











DSS 并 没有 加 密 任 何 数据 ， 真 正 的 问题 是 DSS 是 否 容易 被 人 伪造 签 
名 ， 从 而 使 整个 系统 不 可 信 。 我 们 确认 当 DSS 被 正确 地 使 用 和 实现 时 ， 
任何 人 “包括 NSA) 用 DSS 伪造 签名 几乎 是 不 可 能 的 。 


而 且 ， 所 谓 陷 门 脆弱 性 对 任何 基于 公开 密 钥 的 鉴别 系统 都 存在 ， 包 
括 RSA。 以 某 种 方式 暗示 这 仅仅 影响 DSS〈 新 闻 界 的 观点 ) 完全 使 人 误 
解 。 这 是 一 个 实现 和 怎样 进行 素数 选择 的 问题 。 请 注意 最 近 的 欧 密会 
(EUROCRYPT) 有 关于 DSS 中 陷 门 问题 的 专题 讨论 。 最 初 提出 陷 门 断 
言 的 Bellcore 研 究 人 员 也 在 该 专题 小 组 中 ， 我 们 的 理解 是 该 专题 小 组 
(包括 来 自 Bellcore 的 那 位 ) 得 出 的 结论 是 所 谓 的 陷 门 不 是 DSS 的 问 
题 ， 不 仅 如 此 ， 一 致 的 意见 是 陷 门 问题 很 普通 ， 但 是 被 新 闻 界 伟大 了 。 
尽管 如 此 ， 为 了 响应 有 关 陷 门 的 断言 ， 应 NIST 的 请 求 我 们 设计 了 一 种 
素数 产生 过 程 ， 它 能 保证 避免 选取 那些 非常 少 的 但 用 于 DSS 时 将 引起 安 








全 弱点 的 弱 素 数 。 另 外 ，NIST 打 算 多 许 使 用 长 至 1024 位 的 模 数 ， 这 样 
的 话 就 不 必 采 用 上 述 消除 弱 聂 数 的 素数 产生 过 程 。 另 一 个 非常 重要 但 锦 
常 被 忽视 的 问题 是 ，DSS 中 的 系数 是 公开 的 ， 因 而 可 接受 公开 的 检验 。 
并 不 是 所 有 的 公开 密 钥 系统 都 具有 与 此 相同 的 检验 。 


信息 安全 系统 的 完整 性 要 求人 们 注意 恰当 地 实现 系统 。 由 于 众多 的 
脆弱 性 可 能 引起 用 户 之 间 的 差别 ， 所 以 为 了 使 系统 的 风险 最 小 ，NSA 传 
统 上 使 用 集中 式 的 可 信 中 心 。 为 了 满足 NIST 对 更 为 分 散 方 法 的 需求 ， 
我 们 对 DSS 做 了 技术 上 的 改进 ， 但 仍然 应 该 强调 《Federal Register》 中 
有 关 DSS 的 这 一 部 分 : 





“尽管 本 标准 的 目的 是 规定 产生 数字 签名 的 一 般 安 全 需求 ， 但 并 不 
保证 遵照 本 标准 执行 的 茶 个 特定 的 实现 是 安全 的 。 每 个 部 门 或 机 构 的 负 
责 人 应 确保 一 个 全 面 的 实现 能 达到 可 接受 的 安全 程度 ，NIST 将 与 政府 
用 户 一 起 工作 ， 以 保证 合适 地 实现 。” 








在 我 们 最 终 读 完了 所 有 声称 DSS 不 安全 的 论点 之 后 ， 仍 不 能 确信 其 
正确 性 。 在 NSA 内 部 曾 对 DSS 进行 了 认真 的 评估 ， 在 用 它 对 一 个 智能 系 
统 中 的 一 般 数 据 进行 签名 和 对 一 个 选 定 的 系统 中 的 机 密 数 据 进行 签名 之 
后 ， 信 息 系 统 安全 部 门 的 主任 在 鉴定 书 上 签名 认可 了 该 算法 。 我 们 认为 
这 是 对 所 谓 正确 使 用 和 实现 的 DSS 提供 的 完整 性 缺乏 令 人 置信 的 攻击 这 
一 说 法 的 回答 。 从 美国 政府 对 数字 签名 的 技术 和 安全 需求 来 说 ， 我 们 认 
为 DSS 是 最 好 的 。 事 实 上 ，DSS 目 前 正 处 于 国际 信息 系统 的 试验 中 ， 以 














保证 重要 命令 和 控制 信息 的 电子 消息 的 真实 性 。 参 加 最 初试 验 的 有 联合 
参谋 部 、 各 军种 和 国防 部 。 在 NIST 的 协助 下 ， 该 项 目 正在 进行 之 中 。 


我 并 不 打算 评价 NSA 的 可 信赖 程度 ， 如 何 对 竺 其 评论 取决 于 你 目 
Eis 


20.1.8 Wok 


每 个 签名 都 需要 一 个 新 值 k， 并 且 该 值 必 须 是 随机 选择 的 。 如 果 Eve 
恢复 了 Alice 用 来 签名 消息 的 k， 也 许 通 过 随机 数 发 生 器 的 某 些 特征 来 产 
生 k， 她 就 可 以 恢复 Alice 的 私人 密 钥 x。 如 果 Eve 获 得 了 使 用 同一 个 k 签 
名 的 两 个 消息 ， 即 使 她 不 知道 k 的 任何 情况 ， 也 可 以 恢复 x。 拥 有 了 k， 
Eve 就 可 以 产生 Alice 的 签名 。 在 DSA 的 实现 中 ， 一 个 好 的 随机 数 发 生 器 
对 系统 安全 是 至 关 重 要 的 。 





20.1.9 ”公共 模 数 的 危险 





尽管 DSS 并 没有 为 所 有 人 指定 一 个 共享 的 公共 模 数 ， 但 不 同 的 实现 
可 能 会 这 样 。 例 如 ， 税 务 局 正在 考虑 将 DSS 用 于 税收 的 电子 支付 系统 。 
如 果 他 们 要 求全 国 所 有 纳税 人 使 用 公有 的 p 和 q 会 怎么 样 ? 尽管 标准 不 需 
要 公共 模 数 ， 但 这 种 实现 用 来 完成 同样 的 事情 。 公 共 模 数 很 容易 变 成 密 
码 分 析 者 谤 人 的 目标 。 尽 管 现在 确定 DSS 将 会 有 多 少 种 实现 类 型 还 为 时 











尚 早 ， 但 这 的 确 是 一 个 值得 关注 的 问题 。 


20.1.10 DSA 中 的 国 下 信道 


Gus Simmons 发 现 了 DSA 中 的 一 种 阔 下 信道 。 该 闵 下 信道 使 人 们 可 
以 在 其 签名 中 嵌入 秘密 消息 ， 只 有 另 一 个 知道 密 钥 的 人 能 阅读 它 。 据 
Simmons 称 ， 在 DSS 中 “能 克服 所有 在 使 用 LGamal 方 案 时 竟 下 信道 中 显 
而 易 见 的 内 在 缺点 ”是 一 种 “奇异 的 巧合 ， 并 且 DSS“ 提 供 了 至 今 发 现 的 
最 适合 闹 下 信道 通信 的 环境 "。NIST 和 NSA 还 未 对 这 种 立 下 信道 做 出 评 
论 ， 没 人 知道 他 们 是 否 早 知道 闹 下 信道 。 既 然 闵 下 信道 使 不 诚实 的 DSS 
实现 者 可 以 在 每 次 签名 时 泄露 私人 密 钥 的 一 部 分 ， 那 么 最 重要 的 是 ， 如 
果 你 不 信任 实现 者 就 不 要 使 用 DSS。 





20.1.11 专利 


David Kravitz， 从 前 效力 于 NSA， 拥 有 DSA 的 专利 [897」 。 据 NIST 
称 [538] , 


为 了 公众 的 利益 ，NIST 打 算 使 该 DSS 技术 可 以 在 全 世界 免费 使 用 。 
我 们 相信 该 技术 可 以 取得 专利 ， 并 且 没 有 其 他 专利 适用 于 DSS， 但 是 在 
专利 发 布 之 前 我 们 不 能 做 出 太 多 保证 。 


尽管 如 此 ， 还 是 有 三 个 专利 权 拥 有 者 声称 DSA 侵 犯 了 他 们 的 专利 : 


Diffle-Hellman (参见 22.1 节 ) .7 18」 、Merkle-Hellman (参见 19.2 节 ) 
L720」 和 Schnorr (参见 21.3 节 ) [1398」 。 最 麻烦 的 是 Schnorr 专 利 ， 另 
外 两 个 专利 于 1997 年 到 期 ， 而 Schnorr 专 利 直 到 2008 年 都 有 效 (这 本 书 原 
书 出 版 于 1996 一 一 编辑 注 ) 。Schnorr 算 法 的 研制 没有 使 用 美国 政府 的 经 
费 ， 与 PKP 专 利 不 一 样 ， 美 国政 府 对 Schnorr 专 利 无 使 用 权 ， 并 且 Schnorr 
在 全 世界 为 他 的 算法 申请 了 专利 。 即 使 美国 法 庭 判决 对 DSA 有 利 ， 也 不 
清楚 世界 上 其 他 法 庭 将 怎么 判 。 跨 国 公 司 会 采用 在 某 些 国家 合法 ， 而 在 
另外 的 国家 又 侵权 的 标准 吗 ? 这 个 问题 有 竺 解决。 在 本 书 编 写 过 程 中 该 
问题 在 美国 仍 其 而 未 决 。 





1993 年 7 月 ，NIST 建 议 给 PKP 一 个 独家 的 DSA 专 利 许 可 证 [541」 。 
由 于 公众 强烈 地 抗议 ， 致 使 协商 失败 ， 标 准 在 没有 协议 的 情况 下 颁布 
了 。NIST 声 称 [542] . 





oe NIST 讨 论 了 可 能 的 违反 专利 的 索赔 ， 甚 至 包括 无 理 的 索赔 。 





因此 标准 是 官方 的 ， 诉 讼 的 威胁 是 存在 的 ， 并 且 没 有 人 知道 该 怎么 
办 。NIST 说 如 有 果 将 DSA 用 于 政府 合同 ， 它 将 帮助 反对 的 人 们 提出 对 专 
利 的 诉讼 。 看 起 来 每 个 人 都 拥有 自己 。ANSI 有 一 个 使 用 DSA 的 银行 标 
准 草案 560」 。NIST 在 政府 范围 内 标准 化 DSA。 壳 牌 石 油 公 司 已 在 将 
DSA 成 为 国际 标准 。 我 知道 没有 其 他 的 人 赞同 BSA 标 准 。 


20.2 ”DSA 的 变型 





这 种 变型 使 签名 者 在 计算 上 变 得 容易 ， 因 为 不 必 计 算 k1 [1135]，。 
所 有 的 参数 都 与 DSA 一 样 。 对 消息 m 签 名 时 ，Alice 产 生 两 个 长 度 都 小 于 
q 的 随机 数 k 和 d。 签 名 过 程 如 下 


r= (gk modp) mod q 


s= (H (m) +xr) xdmodq 


t=kd mod q 
Bob 通 过 计算 验证 签名 : 
w=t/s mod q 


u= (H (m) xw) modd 
u = (rw) mod q 
mgr = (Cg Xy") mod p) mod q ， 那 么 签名 被 验证 。 


第 二 个 变型 使 验证 者 计算 更 容易 H040 162] 。 所 有 的 参数 与 DSA 
一 样 。 对 消息 m 签 名 时 ，Alice 产 生 一 个 小 于 q 的 随机 数 K。 签 名 如 下 : 


r= (gkmodp) modq 

s=kx (H (m) +xr) ~t mod q 

Bob 通 过 计算 验证 签名 : 

u= (H (m) xs) modd 

u= (sr) mod q 

如 果 7 一 (C8" Xy) mod p) mod 9 ， 那 么 签名 被 验证 。 


另 一 个 DSA 变 型 允许 成 批 地 验证 。Bob 可 以 成 批 地 验证 签名 [1135] 
。 如 果 它 们 都 有 效 ， 他 可 以 如 此 。 如 果 任 何 一 个 无 效 ， 那 么 他 必须 找到 
它 。 不 幸 的 是 ， 这 种 方法 并 不 安全 ， 签 名 者 或 验证 者 可 以 产生 一 系列 满 
足 准 则 的 伪造 签名 [974] 。 





还 有 DSA 产 生 素 数 的 变型 ， 一 个 敬 入 q 和 p 内 用 来 产生 素数 的 参数 。 
这 种 方案 是 否 降低 了 DSA 的 安全 性 仍然 不 知道 。 


(1) 选择 一 个 至 少 160 位 的 任意 序列 ， 记 为 S$。g 表 示 S 的 位 长 度 。 


(2) 计算 U=SHA (S) @SHA ( (S+1) mod 28 ) ，SHA 是 安全 的 


散 列 算法 (参见 18.7 节 )。 





(3) 通过 设置 U 的 最 高 位 和 最 低位 为 1 而 形成 q。 





(4) 检验 gq 是否 为 系数 。 

(5) 用 p 表 示 q、S、C 和 SHA (S) 的 连接 。C 是 32 个 0 位 。 
(6) p=p- (p mod q) +1. 

(7) p=p+d。 


(8) 如 果 p 中 的 c 为 0x7fffffff， 跳 到 第 (1) 步 。 





(9) 检验 p 是 否 为 素数 。 
(10) 如 果 p 是 合 数 ， 跳 到 第 (7) 步 。 


这 种 变型 的 简洁 之 处 是 不 用 存储 用 来 产生 p 和 q 的 C 和 Ss 的 值 。 它 们 
已 嵌入 p 中 。 对 于 像 智 能 卡 这 样 没有 大 量 存 储 圳 的 应 用 ， 这 是 一 个 大 的 
优点 。 


20.3 GOST 数 字 签 名 算法 

这 是 俄罗斯 的 数字 签名 标准 。 官 方 称 为 GOST R34.10-94 165] , 
该 算法 与 DSA 非 常 相似 ， 并 且 使 用 了 下 面 的 参数 : 

p= 一 个 长 度 在 509 一 512 位 或 1020 一 1024 位 的 素数 。 

qd= 一 个 长 度 在 254 一 256 位 ， 并 与 p-1 互 素 的 因子 。 

a= 任 何 小 于 p-1 并 且 满 足 aa mod p=1 的 数 。 

x= 一 个 小 于 q 的 数 。 

y=ax 模 p。 


算法 同样 使 用 了 一 个 单 向 散 列 函数 H (x) 。 标 准 指定 了 GOST 
R34.11 一 94《〈 人 参见 18.11 节 ) ， 一 个 基于 GOST 对 称 算法 的 函数 (参见 


14.1 节 ) [657] 。 


前 面 3 个 参数 p、q 和 a 是 公开 的 ， 并 且 对 网 络 中 的 所 有 用 户 都 是 公共 
的 。 私 人 密 钥 是 zx， 公开 密 钥 是 y。 


对 消息 m 签 名 时 : 


(1) Alice 产 生 一 个 小 于 q 的 随机 数 k。 


(2) Alice 产 生 : 
r= (ak mod p) mod q 
s= (xr+k (H (m) ) modq 


WRH (m) mod q=0， 那 么 设置 它 等 于 1。 如 果 r=0， 那 么 另 选 一 个 
k 并 重新 开始 。 签 名 是 两 个 数 : r mod 228 和 s mod 228 。 她 将 这 些 数 发 


送 给 Bob。 
(3) Bob 通过 计算 验证 签名 : 


v= H(m)** mod q 

Z,= (sv) mod q 

z= ((q—r) Xv) mod g 

= ((a*! X y2) mod p) mod q 


z 
| 


如 果 u=r， 那 么 签名 被 验证 。 


本 方案 与 DSA 的 区 别 在 于 : 在 DSA 中 ， 由 于 s= Cxrtkt 
(H (m) ) ) modq， 导 致 了 不 同 的 验证 等 式 。 令 人 感 兴趣 的 是 ，q 是 
256 位 。 绝 大 多 数 西方 密码 学 家 认为 q 为 160 位 就 满足 了 。 这 也 许 反 映 了 
俄罗斯 倾向 于 使 它 更 安全 。 





该 标准 在 1995 年 年 初 已 开始 使 用 ， 并 且 对 于 “特殊 使 用 ?是非 密 的 


一 一 正如 此 义 。 


20.4 ”离散 对 数 签 名 方案 











ElGamal、Schnorr (参见 21.3 节 ) 和 DSA 签 名 方案 都 非常 相似 。 事 
实 上 ， 它 们 仅仅 是 基于 离散 对 数 问题 的 一 般 数 字 签名 的 3 个 例子 。 与 其 
他 成 千 上 万 的 签名 方案 一 样 ， 它 们 是 同一 系列 的 一 部 分 [740、741、699、 


1184 | A 











选择 一 个 大 素数 p 和 g，8 是 p-1 或 p 一 1 的 大 素数 因 了 于 。 然 后 选择 g， 
其 值 在 1 一 p 并 满足 gd =1 (modp) 。 所 有 这 些 数 都 是 公开 的 ， 并 且 对 组 
中 的 用 户 都 是 公共 的 。 私 人 密 钥 x 小 于 q。 公 开 密 钥 y=g*x mod p. 


对 消息 mm 签名 时 ， 首 先 选 择 一 个 小 于 q 并 互 素 的 随机 数 。 如 果 q 也 古 
素数 ， 任 何 小 于 q 的 数 k 都 能 工作 。 首 先 计 算 : 


r=gkmodp 
现在 ， 一 般 的 签名 等 式 (signature equation) 变 成 如 下 形式 : 


ak=b+cx mod q 





系数 a、b 和 c 根 据 情况 而 变 。 表 20-4 中 每 行 给 出 了 6 个 可 能 值 。 





表 20-4 a、b 和 c (r=r mod q) 的 可 能 置换 
验证 签名 时 ， 接 收 者 必须 证 实 : 
ra =gb yc d 
Py: mod p 


这 叫做 验证 等 式 Cverification equation) 。 





表 20-5 列 出 了 来 自 上 表 第 一 行 忽略 了 正 、 负 的 a、b 和 c 的 可 能 的 签 
名 和 验证 等 式 。 


表 20-5 ”离散 对 数 签名 方案 





签名 等 式 验证 等 式 签名 等 式 验证 等 式 
(1) r'k=s+mx mod q r” =g*y™ mod p (4) sk=m+r'x mod q r=g"y" mod p 
(2) r'k=m+sx mod q r" =g"y* mod p (5) mk=s+r'x mod q r" = gy” mod p 
(3) sk=r'+mx mod q r= g" y” mod p (6) mk=r'+sx mod q r” =g" y* mod p 





这 是 6 个 不 同 的 签名 方案 ， 加 上 负 号 总 共 是 24 个 ， 使 用 列 出 的 a、b 
和 c 的 其 他 可 能 值 ， 则 总 数 是 120 个 。 


ElGamal [518、5193] 和 DSA [1154] 都 是 基于 式 (4) ， 其 他 方案 基 
于 式 (2) [24. 1629] 。 Schnorr L1396、1397] 同 其 他 方案 [1183 ] 一 样 ， 
基于 式 [5] 。 并 且 式 〈1) 可 修改 产生 文献 [1630] 中 的 方案 。 剩 下 的 
等 式 都 是 新 的 。 





可 以 定义 r 来 产生 更 多 类 似 DSA 的 方案 : 


r= (gk mod p) mod q 


使 用 相同 的 签名 等 式 ， 并 且 定 义 如 下 验证 等 式 : 





w= a ‘'bmodq 
=d oO mod g 


Uo 


a 
r= (g“ y2 mod p) mod q 


此 外 还 有 两 种 其 他 的 可 能 性 40 74 。 你 可 以 对 120 个 方案 进行 
类 似 处 理 ， 将 产生 总 共 480 个 基于 离散 对 数 的 数字 签名 方案 。 


但 是 还 有 更 多 的 。 各 种 变化 能 产生 多 达 13000 种 变型 并非 所 有 的 
变型 都 是 有 效 的 ) (740s 74] 。 











使 用 RSA 来 进行 数字 签名 的 好 处 是 具有 消息 恢复 (message 
recovery) 的 特征 。 验 证 RSA 签 名 时 需 计 算 m。 然 后 比较 从 消息 计算 出 
来 的 nm， 从 而 看 消息 的 签名 是 否 有 效 。 在 前 面 的 方案 中 ， 当 计算 签名 
时 ， 不 能 恢复 m。 在 使 用 验证 等 式 中 ， 需 要 一 个 候选 m。 当 然 ， 对 于 前 
面 所 有 的 签名 方案 ， 都 可 以 构造 出 消息 恢复 的 变型 。 




















签名 时 ， 首 先 计算 : 


r=mg* mod p 





并 且 在 签名 等 式 中 用 1 蔡 代 m。 然 后 可 以 构造 验证 等 式 ， 从 而 使 m 可 


以 直接 计算 。 可 以 用 类 似 DSA 的 方法 : 


r= (mg mod p) mod q 





所 有 变型 具有 相同 的 安全 性 ， 因 此 应 选择 一 个 容易 计算 的 方案 。 倒 
数 的 计算 降低 了 大 多 数 方案 的 速度 。 在 这 些 方案 中 有 一 个 允许 不 用 倒数 
来 计算 签名 等 式 和 验证 等 式 ， 并 可 以 给 出 消 妃 恢复 的 方案 ， 它 就 是 p- 








NEW 方 案 [1184] 。 


r= mg “mod p 


/ 
s= k—rxmodgq 


并 且 m 可 通过 下 式 恢复 〈 并 且 验 证 签名 ) : 


m = gy’ r mod p 





某 些 变型 可 以 同时 对 两 三 个 消息 分 组 进行 签名 -744 ， 还 有 一 些 变 


型 可 于 言 签名 [74] ， 





这 是 研究 中 引 人 注 目的 部 分 。 所 有 基于 离散 对 数 的 数字 签名 方案 都 
有 一 个 相关 的 框架 。 从 我 的 观点 来 讲 ， 最 终 Schnorr [13984 和 DSA 
L897] 不 存在 任何 专利 之 争 。DSA 不 是 Schnorr 也 不 是 ElGamal 的 导出 形 
式 ， 这 三 种 形式 都 是 通用 结构 的 例子 ， 而 通用 结构 是 没有 专利 的 。 


20.5 ”Ong-Schnorr-Shamir 签 名 方案 

这 种 签名 方案 使 用 多 项 式 模 n 【1219、1220」 。 选 择 一 个 大 整数 n (不 
必 知 道 n 的 因子 分 解 ) ， 再 选择 一 个 与 n 互 素 的 随机 整数 K， 计 算 h: 

h=-k? mod n=- (kt )“modn 

h 和 和 n 是 公开 密 钥 ，k 是 私人 密 钥 。 

对 消息 M 签 名 时 ， 首 先 产 生 一 随机 数 r，r 与 n 互 素 。 然 后 计算 : 

S1 =1/2x (M/r+r) mod n 

S, =k/2x (M/r-r) mod n 

S, 和 S, 就 是 签名 。 

验证 时 ， 只 需 验 证 : 


Si +h X Si = M(mod n) 





该 方案 基于 二 次 多 项 式 。 当 它 首 次 在 [1217」 中 提出 时 ， 曾 悬赏 
100 美 元 对 它 进行 密码 分 析 。 [1255、18] 证 明了 它 是 不 安全 的 ， 但 是 
方案 的 设计 者 并 未 退却 ， 他 们 又 提出 了 基于 三 次 多 项 式 的 算法 ， 同 样 也 
被 破译 (255) 。 然 后 提出 了 四 次 的 形式 ， 但 又 被 破译 了 [5A 1255] 。 





解决 这 些 问题 的 变型 在 [1134]」 中 提出 。 


20.6 ESIGN 签 名 方案 


ESIGN 是 由 日 本 NTT 提 出 的 数字 签名 方案 (1205. 583] 。 对 同样 的 
密 钥 和 签名 长 度 ， 它 的 安全 性 至 少 与 RSA 或 DSA 一 样 ， 但 速度 要 快 得 
多 。 








私人 密 钥 是 一 对 大 系数 p 和 q， 公 开 密 钥 为 n: 
n=p q 


H 是 作用 于 消息 m 上 的 散 列 函数 ， 并 且 H (m) 处 于 0~n-1。 另 外 ， 
还 有 一 个 安全 参数 k， 后 面 将 简要 地 讨论 它 。 


(1) Alice 选 择 一 个 小 于 pq 的 随机 数 x。 

(2) Alice 计 算 : 

w 大 于 等 于 (H (m) -xkmodn) /pq 的 最 小 整数 
s=x+ ( (w/kx! ) modp) pq 

(3) Alice 发 送 s 给 Bob。 


(4) 验证 签名 时 ，Bob 计 算 sk modn。 他 还 要 计算 a，a 是 大 于 等 于 n 
除 以 3 的 位 数 的 两 倍 的 最 小 整数 。 如 果 H Cm) 小 于 等 于 sk modn， 并 且 


如 果 sk modn 小 于 H (m) +2a ， 那 么 就 认为 该 签名 有 效 。 


利用 预计 算 可 加 快 这 个 算法 。 预 计算 可 在 任何 时 候 进 行 ， 并 且 与 竺 
签名 的 消 居 无 任何 关系 。 在 选择 x 之 后 ，Alice 可 以 将 第 (2) 步 分 成 两 小 


步 ， 第 一 小 步 进 行 预计 算 : 





(2a) Alice 计 算 : 

u=xk mod n 

v=1/ (kx!) mod p 

(2b) Alice 计 算 : 

w= 大 于 等 于 (H (m) -u) /pq) 的 最 小 整数 ; 
s=x+ (wv mod p) pq 


对 通常 使 用 的 数 的 长 度 ， 这 种 预计 算 可 使 签名 过 程 快 10 倍 。 几 乎 所 
有 困难 的 事情 都 在 预计 算 阶 段 完 成 。 关 于 用 模 运 算 加 快 ESIGN 算 法 的 讨 
论 见 文献 [1625、1624] 。 该 算法 经 扩展 后 也 可 用 于 椭圆 曲线 [1206] 


20.6.1 ESIGN 的 安全 性 


最 初 k 被 置 为 2 [1215」 ， 算 法 很 快 被 Ernie Brickell 和 John 
DeLaurentis 破 译 [261] ， 并 将 其 攻击 扩展 到 3。 算 法 的 改进 版 本 [12031 
被 Shamir 破 译 。ESIGN 是 这 种 算法 的 最 新 形式 ， 另 一 新 的 攻击 [863] 对 
ESIGN 不 起 作用 。 





最 近 设 计 者 推荐 k 值 为 : 8、16、32、64、128、256、512 和 1024。 
他 们 同时 建议 p 和 q 各 自 至 少 为 192 位 ， 使 得 n 至 少 为 576 位 长 。 在 这 些 参 
数 的 情况 下 ， 设 计 者 估计 ESIGN 与 RSA 或 Rabin 同 样 安全 ， 并 且 他 们 的 
分 析 表 明 其 速度 比 RSA、ElGamal 及 DSA 快 [582」 。 


20.6.2 专利 


ESIGN 在 美国 [1298] 、 加 拿 大 、 英 国 、 法 国 、 德 国 和 意大利 申请 
了 专利 。 获 得 算法 许可 证 的 联系 地 址 是 : Intellectual Property 
Department, NTT, 1-6 Uchisaiwai-cho, 1-chome, Chiyadaku, 100 


Japan. 


20.7 ”细胞 自动 机 


Papua Guam 研 究 出 了 一 种 新 奇 的 思想 [665」 ， 即 在 公开 密 钥 系统 
中 使 用 细胞 自动 机 。 这 种 系统 还 太 新 ， 未 做 广泛 的 研究 ， 其 最 初 的 测试 
使 人 觉得 它 有 一 些 密码 上 的 弱点 “562」 ， 但 是 仍然 是 一 个 有 希望 的 研究 
领域 。 细 胞 目 动机 具有 这 样 的 特点 ， 纵 然 它 们 是 可 逆 的 ， 但 是 用 寻找 后 
继 的 规则 反 过 来 计算 菏 个 任意 状态 的 前 驱 是 不 可 能 的 。 听 起 来 这 很 像 单 
DEEE 





20.8 其 他 公开 密 钥 算法 


近 几 年 来 ， 其 他 许多 公开 和 密 钥 算法 不 断 地 被 提出 又 被 破译 。 
Matstumoto-Imai 算 法 C101] 在 文献 [450] 中 被 破译 。Cade 算 法 首先 于 
1985 年 提出 ，1986 年 被 破译 74 ， 同 年 又 得 到 增强 [285」 。 除 了 这 
些 攻击 外 ， 还 有 对 有 限 域 上 多 项 式 分 解 的 一 般 攻 击 “6054 。 所 有 安全 性 
建立 在 有 限 域 上 的 多 项 式 分 解 的 算法 即使 不 是 彻底 地 值得 怀疑 ， 也 应 该 
打上 问号 。 





Yagisawa 算 法 结合 了 模 p 指 数 运算 和 模 p-1 算 术 运 算 [256」 ， 在 文献 
[256] 中 被 破译 。 另 一 种 公开 密 钥 算法 由 TsujiiKurosawa、Itoh- 
Fujioka-Matsumoto 提 出 [1548」 ， 它 也 是 不 安全 的 (948! 。 第 三 种 系统 
Luccio-Mazzone [993」 同样 不 安全 。 一 种 基于 双 有 理 置 换 (15) 的 签 
名 方案 在 提出 后 就 被 破译 了 ”1 」 。Tatsuaki Okamoto 有 多 个 签名 方 
R: 一 个 被 证 明 与 离散 对 数 问题 一 样 安 全 ， 男 一 个 被 证 明 与 离散 对 数 问 
题 和 大 数 分 解 问 题 一样 安 全 。 类 似 的 方案 见 文献 [709] 。 








Gustavus Simmons 建 议 用 J 代 数 作为 公开 密 钥 算法 的 基础 [1455， 
145] ， 该 想法 在 发 现 了 多 项 式 分 解 和 有 效 方法 之 后 放弃 了 [951] 。 关 
于 特殊 的 多 项 式 半 群 也 进行 了 一 些 研究 [1619、145] ， 但 迄今 未 得 出 任 
何 结论 。Harald Niederreiter 提 出 了 基于 移 位 寄存 器 序列 的 公开 密 钥 算法 


(1166) 。 还 有 一 种 基于 Lyndon 字 [1476」 ， 另 一 种 基于 命题 演算 【817] 
。 最 近 的 公开 密 钥 算 法 从 矩阵 覆盖 问题 中 获得 了 安全 性 l2] 。Tatsuaki 
Okamoto 和 Kazuo Ohta 在 文献 [1212] 中 比较 了 许多 种 数字 签名 方案 。 





要 构造 一 个 箔 新 的 公开 密 钥 算法 看 来 不 太 可 能 。1988 年 ，Whitfield 
Diffie 提 出 绝 大 多 数 公 开 密 钥 算 法 都 基于 以 下 三 种 疑难 问题 之 一 【492、 


494] , 


(1) 背包 问题 : 给 定 一 个 由 互 不 相同 的 数组 成 的 集合 ， 找 出 一 个 
子 集 其 和 为 N。 


(2) 离散 对 数 : 如 果 p 是 素数 ，g 和 M 是 整数 ， 找 出 X 满 足 既 
=M (modp) 。 


(3) 因子 分 解 : 设 N 是 两 个 素数 的 乘积 ， 则 


(a) 分 解 n。 


WY 


b) 给 定 整 数 M 和 C， 寻 找 d 满 足 Md=C (modN) 。 


(c) 给 定 整数 e 和 C， 寻 找 M 满 足 Me =C (mod N) 。 


WY 


(d) 给 定 整数 x， 判 定 是 否 存在 整数 y， 满 足 x=yY (mod N) 。 


据 Diffie [492、494] 称 离散 对 数 问题 由 J.G 记 提出 ， 因 子 分 解 问题 由 
Knuth 提 出 ， 而 背包 问题 则 由 Diffie 本 人 提出 。 


公开 密 钥 密码 学 如 此 狭 鹤 的 数学 基础 令 人 担忧 。 因 子 分 解 或 者 离散 
对 数 问 题 的 突破 将 使 所 有 公开 密 钥 算 法 不 安全 。Diffie 指 出 有 两 个 因素 
缓解 了 这 种 危险 [492、494] , 


(1) 目前 公开 密码 学 所 依赖 的 运算 乘法、 指数 运算 和 因子 分 
解 〉》 都 是 基本 的 数学 现象 。 几 个 世纪 以 来 它们 都 是 顷 密 的 数学 研究 的 主 
题 ， 用 于 公开 密 钥 密码 系统 之 后 引起 了 人 们 更 大 的 兴趣 ， 这 只 会 增强 而 
不 会 丧失 我 们 的 信心 。 


页 


re 


(2) 进行 大 数 计算 的 能 力 在 持续 地 增加 ， 所 以 在 实现 系统 时 可 用 
充分 大 的 数 ， 只 有 在 因子 分 解 、 对 数 问 题 或 求 根 取得 重大 突破 时 才 会 使 
系统 脆弱 。 





如 我 们 已 经 看 到 的 一 样 ， 并 不 是 所 有 基于 这 些 问 题 的 公开 密 钥 算法 
都 是 安全 的 。 公 开 密 钥 算 法 的 强度 更 多 地 取决 于 它 所 基于 问题 的 复杂 
性 ， 难 题 并 不 一 定 都 包含 了 强 的 算法 。Adi Shamir 列 出 了 三 条 理由 说 明 
为 什么 会 这 样 -1415] : 


(1) 复杂 性 理论 通常 处 理 问 题 的 单个 孤立 的 实例 ， 密 码 分 析 者 党 
常用 一 大 堆 统计 相关 的 问题 来 解决 一 用 相同 密 钥 加 密 的 多 个 密 文 。 


(2) 一 个 问题 的 计算 复杂 性 是 用 它 的 最 坏 和 平均 行为 来 度量 的 。 
一 个 有 用 的 密码 ， 其 问题 必然 在 任何 情况 下 都 难 解 。 





(3) 一 个 任意 的 难题 不 一 定 能 转变 成 一 个 密码 系统 ， 只 有 在 这 个 
问题 中 能 插入 陷 门 信息 ， 并 且 仪 当 拥 有 该 信息 时 可 能 存在 捷径 解法 才 


行 。 








21.1 ”Feige-Fiat-Shamir 算 法 











Amos Fiat 和 Adi Shamir 的 鉴别 和 数字 签名 方案 已 在 [566、567】] 中 
讨论 了 。Urid Feige、Fiat 和 Shamir 改 进 这 个 算法 使 之 成 为 身份 的 零 知 识 
证 明 1544 545) 。 这 是 最 著名 的 身份 的 零 知 识 证 明 。 


1986 年 7 月 9 日 ， 三 位 设计 者 递交 了 一 份 美国 专利 申请 -1427」 。 由 
于 其 在 军事 上 的 潜在 应 用 ， 申 请 由 军 方 审阅 。 终 于 专利 局 有 了 回应 ， 但 
不 是 专利 ， 而 是 一 个 密令 。1987 年 1 月 6 日 ， 在 六 个 月 期 限 到 达 的 前 三 
天 ， 专 利 局 应 军 方 的 要 求 下 达 了 命令 。 他 们 宣称 “..……... 泄 露 或 公布 关键 
内 容 .……. 将 危害 国家 安全 .……” 并 命令 设计 者 通知 所 有 得 到 该 成 果 的 美 
国人 ， 未 经 授权 泄露 此 项 研究 将 处 以 两 年 监禁 ，1 万 美元 罚款 ， 或 上 述 
两 项 并 罚 。 而 且 ， 设 计 者 必须 通知 已 获取 该 情报 的 外 国 专利 局 和 商标 局 


的 官员 。 


这 种 做 法 这 计 至极。1986 年 的 整个 下 半年 ， 设 计 者 在 以 色 列 、 欧 洲 
和 美国 的 会 议 上 宣布 了 此 项 成 果 。 设 计 者 甚至 不 是 美国 公民 ， 所 有 的 工 
作 都 是 在 以 色 列 的 Weizmann 研 究 所 进行 的 。 





通知 传 过 了 整个 学 术 界 和 出 版 界 。 两 天 内 ， 密 令 被 取消 。Shamir 和 





其 他 人 认为 是 在 NSA 操 纵 下 撤销 了 命令 ， 但 没有 得 到 任何 官方 的 解释 。 
此 次 事件 的 详情 见 文 献 [936] 。 


21.1.1 简化 的 Feige-Fiat-Shamir 身 份 鉴别 方案 


在 发 放 私 人 密 钥 之 前 ， 仲 裁 者 随机 选取 一 个 模 数 n，n 为 两 个 大 素数 
之 乘积 。 实 际 上 ，n 应 至 少 为 512 位 ， 尽 量 接近 1024 位 。n 值 可 以 在 一 组 
证 明 者 之 间 共 享 (选择 一 个 Blum 整 数 更 容易 ， 但 它 不 安全 ) 。 


为 了 产生 Peggy 的 公开 密 钥 和 私人 密 钥 ， 可 信 仲 裁 者 选取 一 个 数 v， 
Vv 为 对 模 n 的 二 次 剩余 。 换 言 之 ， 选 择 v 使 得 x =v (modn) 有 一 个 解 且 Vv 
1 mod n 存 在 。v 就 是 Peggy 的 公开 密 钥 。 然 后 计算 满足 s=sqrt (vt ) 
(mod n) 的 最 小 s:， 将 它 作 Peggy 的 私人 密 钥 。 





这 样 ， 号 份 鉴别 协议 如 下 进行 : 


(1) Peggy 选 取 一 个 随机 数 r，r<n， 接 着 计算 x=r* mod n， 并 将 x 发 


送 给 Victor。 
(2) Victor 发 送 一 个 随机 位 b 给 Peggy。 


(3) 如 果 b=0，Peggy 将 r 发 送 给 Victor; 如 果 b=1，Peggy 发 送 y=rxs 


mod n- 


(4) 如 果 b=0，Victor 验 证 x=r modn， 以 证 实 Peggy 知 道 
sqrt (x) ; 如 果 b=1，Victor 验 证 x=y* xvmodn， 以 证 实 Peggy 知 道 


sqrt (vi!) 。 


这 个 协议 是 单 轮 鉴定 〈 叫 做 一 次 鉴定 合格 Caccreditation) ) 。 
Peggy 和 Victor 重 复 这 个 协议 t 次 ， 直 到 Victor 确 信 Peggy 知 道 s，。 这 是 一 个 
分 割 选 择 协 议 。 如 果 Peggy 不 知道 s，。 她 可 以 选取 r 以 便 在 Victor 送 给 她 0 
时 欺骗 Victor， 或 者 选取 r 以 便 在 Victor 送 给 她 1 时 欺骗 Victor。 但 她 不 能 
同时 做 到 上 述 两 点 。 她 欺骗 Victor 一 次 的 可 能 性 为 50%，t 次 的 可 能 性 为 
1/2t 。 


攻击 这 个 协议 的 男 一 种 方法 是 Victor 试 图 冒充 Peggy。 他 和 男 一 个 验 
证 者 Valerie 开 始 进 行 这 个 协议 。 在 第 (1) 步 ， 他 重新 使 用 他 曾 看 到 
Peggy 用 过 的 r， 而 不 是 随机 选取 r。 然 而 


Valerie 在 第 (2) 步 选 取 与 Victor 所 选取 的 奇数 值 相同 的 可 能 性 为 1 
/ 2。 所以， 他 欺骗 Valerie 的 可 能 性 为 50%。 他 欺骗 她 t 次 的 可 能 性 为 1 
la 


要 避免 这 点 ，Peggy 不 能 重新 使 用 r。 如 果 她 重新 使 用 r， 在 第 (2) 
步 ，Victor 发 给 Peggy 另 外 一 个 随机 位 ， 那 么 他 能 获得 Peggy 的 两 种 应 
答 。 从 中 ，Victor 能 计算 出 s， 然 后 冒充 她 。 


N 


> 


21.1.2 ”Feige-Fiat-Shamir 身 份 鉴别 方案 


在 文献 [544、545] 中 ，Feige、Fiat 和 Shamir 证 明 : 并 行 构造 可 以 
增加 每 轮 鉴 定 的 数量 ， 以 减少 Peggy 和 Victor 交 互 的 次 数 。 


首先 如 上 产生 n，n 为 两 个 大 素数 之 积 。 要 产生 Peggy 的 公开 密 钥 和 
私人 密 钥 ， 先 选取 k 个 不 同 的 数 : vi ，v， ，.……，wvk ， 这 里 vi 为 对 模 n 的 
REA. MAZ, x? =v modn 有 一 个 解 且 vi mod nf Æ. v> v 
ss Vk 作为 公开 密 钥 。 然 后 计算 满足 si =sqrt (vi; ) modn 的 最 小 值 si 
o sis ，s， ，...，Sk 作为 私人 密 钥 。 


协议 为 : 
(1) 由 Peggy 选 取 一 个 随机 数 r，r<n。 然 后 计算 x=r* mod n， 并 将 x 
发 送 给 Victor。 
(2) Victor 将 一 个 k 位 随机 二 进 制 串 bi by, ..., by 发 送 给 
Peggy。 
— b Ds a Os 
(3) Peggy 计 算 y》 一 7 入 《ST X s2 Xe XS) modn (她 


将 与 bi =1 对 应 的 s; 值 相 乘 。 如 果 Victor 的 第 1 位 为 1， 则 用 sl ， 做 乘法 因 
Fs 如 果 第 1 位 为 0， 则 不 用 si 做 乘法 因子 )。 她 将 y 发 送 给 Victor。 


ba 


== p ) b 
(4) Victor 验 证 XY》 (vn X uz XX ve) modn (他 将 随 


机 二 进 制 中 的 vi 值 相 乘 。 如 有 果 第 1 位 为 1， 则 用 vi 做 乘法 因子 ;如 第 1 位 
为 0， 则 不 用 vi 做 乘法 因子 〉。 


Peggy 和 Victor 重 复 这 个 协议 t 次 ， 直 到 Victor 确 信 Peggy 知 道 s; ，s， 


’ ooo) Sk ° 


Peggy 欺 骗 Victor 的 概率 为 1 / 2Kt 。 设 计 者 建议 ， 取 k=5，t=4， 则 作 
次 者 欺骗 Victor 的 概率 为 /220 。 如 果 你 想 要 更 安全 些 ， 可 增 大 这 两 个 
值 。 


21.1.3 ”例子 


让 我 们 看 这 个 协议 在 小 数 情况 下 如 何 工作 。 

如 果 n=35〔〈 两 素数 为 5 和 7) ， 那 么 可 能 的 二 次 剩余 为 : 
1: x*=1 mod 35A f: x=1，6，29 或 34。 

4: x° =4 mod 35 有 人 解 : x=2，12，23 或 33。 

9: x° =9 mod 35 有 解 : x=3，17，18 或 32。 

11: x? =11 mod 35 有 解 : x=9，16，19 或 26。 


14: x =14 mod 35 有 人 解 : x=7 或 28。 


15: x =15 mod 35 有 解 : x=15 或 20。 


16: x? =16 mod 354 f#: x=4，11，24 或 31。 


21: x =21 mod 354 ff#: x=145K21. 


25: x2 =25 mod 354 f#: x=5 或 30。 


29: x? =29 mod 354 ff#: x=8, 13, 22027. 


30: x2 =30 mod 354 f#: x=105K25. 


Wie O35) 和 它们 的 平方 根 为 : 


v u! s=sqrt(v !) 
j! l l 
4 9 3 
9 4 2 
Li 16 4 
16 Ti 9 
29 29 8 


注意 14、15、21、25 和 30 对 模 35 没 有 逆 元 ， 因 为 它们 与 35 不 互 素 。 
这 很 容易 理解 ， 因 为 35 有 (5-1) x (7-1) /4 个 二 次 剩余 ，ged (x, 


35) =1 (参见 11.3 节 ) 。 


所 以 ，Peggy 取 4 个 值 {4，11，16，29} 作 为 其 公开 密 钥 。 相 应 的 秘 


密 密 钥 为 {3，4，9，8}。 下 面 为 该 协议 的 一 轮 : 


(1) Peggy 选 择 一 个 随机 数 r=16， 计 算 16? mod 35=11 并 发 送 给 


Victor。 
(2) Victor 发 送 一 个 随机 二 进 制 串 {1，1，0，1} 给 Peggy。 


(3) Peggy 计 算 16x ( (3!) x (41) x (99) x (8!) ) mod 
35=31， 并 发 送 给 Bob。 


(4) Bob 证 实 312 x ( (41) x (11!) x (160 ) x (29!) ) mod 


35=11。 


Peggy 和 Victor 重 复 这 个 协议 ， 每 次 用 一 个 随机 数 r， 直 到 Victor 满 意 
AEs 


对 于 这 种 小 的 整数 ， 没 有 实际 上 的 安全 性 。 但 当 n 为 512 位 或 更 长 
时 ，Victor 不 可 能 知道 Peggy 的 密 钥 ， 除 非 她 本 来 就 知道 。 


21.1.4 ”加 强 方案 


将 身份 鉴别 信息 嵌入 协议 中 是 可 能 的 。 假 定 I 是 代表 Peggy 身 份 的 二 
进 制 串 : 她 的 名 字 、 住 址 、 社 会 保险 号 、 帽 子 大 小 、 喜 爱 的 软饮料 牌子 
等 个 人 信息 。 用 一 个 单 向 散 列 函数 H (x) 计算 H (I，j) ， 这 里 j 为 跟 在 I 








后 面 的 一 个 小 随机 数 。 找 出 一 系列 j 值 使 H 〈I，j) 为 对 模 n 的 二 次 剩余 。 
H A, j) Ævi > vo ao Wy (这 里 j 不 必 是 二 次 剩余 ) 。Peggy 的 公 
开 密 钥 为 I 和 这 一 串 j 值 。 在 协议 第 一 步 以 前 ， 她 将 I 和 这 一 串 j 值 发 送 给 
Victor (或 者 Victor 从 公告 板 之 类 的 地 方 获取 ) ， 然 后 Victor 从 H C1, j) 


产生 vi ， V2 9 «eee Veo 





在 Victor 与 Peggy 成 功 地 完成 协议 之 后 ， 他 假定 Trent 知道 模 数 的 
子 分 解 ， 并 通过 给 她 由 I 派生 出 来 的 vi 的 平方 根 证 明了 I 和 Peggy 的 联系 。 


(参见 5.2 节 的 背景 资料 。) 





Feige、Fiat 和 Shamir 给 出 了 如 下 实现 记录 [544、 545]. 

对 非 理 想 的 散 列 函数 ， 在 I 后 跟 一 个 长 的 随机 串 R 使 I 随机 化 是 可 行 
的 。 这 个 串 由 仲裁 方 选取 ， 随 I 发 送 给 Victor。 

在 典型 应 用 中 ，k 在 1 一 18 之 间 选 取 。 较 大 的 尾 值 能 通过 减少 轮 数 以 
减少 时 间 和 通信 复杂 性 。 

n 应 至 少 512 位 长 。 《当然 ， 从 那 以 后 ， 在 因子 分 解 上 又 有 了 很 大 的 
UE. 2 

如 果 所 有 的 用 户 选 取 他 们 自己 的 n， 并 在 一 个 公开 密 钥 文件 中 公 
布 ， 他 们 就 不 必需 要 仲裁 者 。 然 而 ， 这 个 类 似 于 RSA 的 变型 使 方案 明显 
地 变 得 不 方便 。 


21.1.5 “Fiat-Shamir 签 名 方案 


将 这 个 身份 鉴别 方案 变 成 一 个 数字 签名 方案 ， 本 质 上 就 是 将 Victor 
变 成 一 个 散 列 函数 。FiatShamir 数 字 签 名 比 RSA 的 主要 好 处 在 于 速度 ， 
Fiat-Shamir 数 字 签 名 只 需要 RSA 的 1% 一 4% 的 模 乘 法 。 在 这 个 协议 里 ， 
将 再 用 到 Alice 和 Bob。 





初始 设置 同 身 份 鉴别 方案 。 选 择 n 为 两 个 大 素数 之 积 。 产 生 公 开 密 
Hvi ，v。 ，...，w ， 和 私人 密 钥 s; ，s, ，...，Sk. ， 满 足 s; =sqrt (Cv, 1) 


mod n- 


(1) Alice 取 t 个 1~m 之 间 的 随机 整数 : ry, ，r ，...，T, ， 并 计算 Xi 


，X2 ，...，X 满足 x; =7 modn。 


(2) Alice 对 消 轧 和 这 些 x 串 的 连接 做 散 列 运算 ， 得 到 一 个 位 序列 : 
H m, X> ，x ，.…，X ) ， 她 将 串 开 始 的 kxt 位 作为 bii 的 值 ， 其 中 
1<j<t, 1<j<k. 


(3) Alicett Sty, , You o Yer 
y; = r; X (sja X s22 X =. X s mod n 


(对 于 每 一 个 i， 她 对 基于 随机 bi 值 的 si 值 做 乘法 运算 。 如 果 bi， 1 
等 于 1， 则 乘 s; ; 如 果 b;, 1 等 于 0， 则 不 乘 s1 。 


(4) Alice 将 b; 、m 和 y; 发 送 给 Bob， 他 已 经 获取 了 Alice 的 公开 密 


fH: Vje Vyr ser Vips 
(5) Bob 计 算 zi Zs o Ze 
zi = y; X (vta X vi X... X vee )mod n 
(Bob 也 是 依据 bi，; 做 乘法 。) 注意 zi 应 该 等 于 xi 。 


(6) Bob 验 证 H (m, 2,5 Z> o 4O 开始 的 kxt 位 是 Alice 发 送 
给 他 的 pi, j 值 。 


与 身份 鉴别 方案 一 样 ， 这 种 签名 方案 的 安全 性 正比 于 1 / 24 。 它 也 
依赖 于 分 解 n 的 难度 。Fiat 和 Shamir 指 出 ， 当 分 解 n 的 复杂 性 低 于 2K 时 伪 
造 一 个 签名 很 容易 。 并 且 ， 由 于 生日 类 型 的 攻击 “参见 18.1 市 ) ， 他 们 
推荐 kxt 应 从 20 至 少 增 至 72， 他 们 建议 取 k=9，t=8。 





21.1.6 ”改进 的 Fiat-Shamir 签 名 方案 


Silvio Micali 和 Adi Shamir 改 进 了 Fiat-Shamir 方 案 “1088」 。 选 择 v1 
s Wor seer Ve ABOKTD AM. Wily, =2, vo =3, vy =5%F%. MEANS 


4Ha 


Al, \ Hs 9 S2 ) Sk 是 一 个 随机 平方 根 ， 由 s; =sqrt (v; -1 ) 


modn 给 出 。 





这 个 方案 中 ， 每 个 人 必须 有 一 个 不 同 的 n 值 。 这 种 改进 使 得 验证 
签名 变 得 更 容易 ， 产 生 签名 所 需要 的 时 间 和 这 些 签 名 的 安全 性 不 受 影 


过 





21.1.7 其 他 加 强 方案 


在 文献 [264」 中 给 出 了 一 个 基于 Fiat-Shamir 算 法 的 N 方 身份 鉴别 方 
案 。 对 Fiat-Shamir 方 案 的 其 他 两 个 改进 方案 在 文献 [1218] PEM, 5 
一 个 变型 在 文献 [1368」 中 给 出 。 


21.1.8 ”Ohta-Okamoto 身 份 鉴别 方案 


这 个 方案 也 是 基于 Feige-Fiat-Shamir 身 份 鉴别 方案 的 改进 ， 它 的 安 
全 性 依赖 于 因子 分 解 的 难度 [1198、1109」 。 该 方案 的 设计 者 还 编写 了 一 
个 多 人 连续 签名 信息 的 多 重 签名 方案 (参见 23.1 节 ) [1200」 ， 该 方案 


适合 智能 卡 应 用 [850] 。 


21.1.9 ”专利 


Fiat-Shamir 算 法 申请 了 专利 7] 。 有 意 取得 算法 应 用 许可 证 的 
人 ， 请 与 以 下 地 址 联系 : Yeda Research and Development, The 


Weizmann Institute of Science，Rehovot 76100， Israel。 


21.2 ”Guillou-Quisquater 算 法 


Feige-Fiat-Shamir 算 法 是 第 一 个 实用 的 基于 身份 证 明 的 算法 。 它 通 
过 增加 远 代 次 数 和 每 次 达 代 中 鉴别 的 次 数 ， 将 所 需 的 计算 量 减 至 最 小 。 
但 对 于 诸如 智能 卡 这 样 的 应 用 ， 该 算法 不 甚 理想。 因为 与 外 部 的 信息 交 
换 很 耗 时 ， 并 且 每 次 鉴别 所 需 的 存储 量 使 卡 中 有 限 的 资源 更 为 紧张 。 











Louis Guillou 和 Jean-Jacque Quisquarer 研 究 的 零 知 识 身份 鉴别 算法 更 
适合 于 这 些 应 用 [670 1280] 。 它 将 Peggy 和 Victor 之 间 的 信息 交换 和 每 
次 交换 中 的 并 行 鉴 别 都 控制 至 最 少 。 每 次 证 明 只 进行 一 次 鉴别 信息 的 交 
换 。 对 于 同样 的 安全 级 别 ，Guillou-Quisquater 算 法 比 Feige-FiatShamir 算 
法 所 需 的 计算 量 大 三 倍 。 像 Feige-Fiat-Shamir 算 法 一 样 ， 该 身份 鉴别 算 
法 也 可 转换 成 一 个 数字 签名 算法 。 


es 


21.2.1 ”Guillou-Quisquater 身 份 鉴别 方案 


假设 智能 卡 Peggy 欲 癌 Victor 证 明 其 身份 。Peggy 的 号 份 是 一 些 赁 证 
的 集合 : 由 卡 的 名 称 、 有 效 期 、 银 行 账号 和 其 他 应 用 所 需 的 信息 组 成 的 
数据 串 ， 记 为 ]。【〔 实 际 上 ， 和 凭证 可 能 是 一 个 很 长 的 位 串 ， 通 过 散 列 运 
算 而 形成 J， 但 是 这 个 复杂 过 程 对 协议 无 任何 改变 。) 它 与 公开 密 钥 相 
类 似 。 可 被 所 有 “Peggy” 共 用 的 其 他 公开 信息 是 指数 v 和 模 数 n， 其 中 n 是 





两 个 秘密 素数 的 乘积 。 私 人 密 钥 是 B， 通 过 JBY =1 (modn) 计算 得 出 。 


Peggy 将 她 的 凭证 J 发 送 给 Victor， 为 了 向 Victor 证 明 这 的 确 是 她 的 凭 
证 ， 她 必须 让 Victor 确 信 她 知道 B。 协 议 如 下 : 


(1) Peggy 选 取 一 个 1~n-1 之 间 的 随机 整数 r， 计 算 T=rY mod n 并 将 
T 发 送 给 Victor。 


(2) Victor 选 取 一 个 0 一 v-1 之 间 的 随机 整数 4d， 并 发 送 给 Peggy。 
(3) Pegeyit @D=rB! mod n Rž Victor. 


(4) Victor 计 算 T'=DY J4mod n。 如 果 T=T' (modn) ， 则 鉴别 成 
Dje 


数学 表示 并 不 复杂 : 
T= D = CB = By? SAUB Y = = Toned a 


EH Bi IBY =1 (modn) 。 





21.2.2 ”Guillou-Quisquater 数 字 签 名 方案 








这 种 吴 份 鉴别 方案 可 转变 成 数字 签名 方案 ， 它 也 适用 于 智能 卡 的 应 
用 [671、 672] 。 


公开 密 钥 和 私人 密 钥 与 前 面 设置 一 样 ， 协 议 如 下 : 
(1) Alice 选 取 一 个 1~mn1 之 间 的 随机 整数 r， 并 计算 T=r mod n. 


(2) Alice 计 算 d=H (M, T) ， 其 中 M 是 竺 签名 的 消息 ， 而 也 (x) 
是 单 向 散 列 函 数 。 由 散 列 函 数 产 生 的 d 必 须 在 0~u-1 之 间 [1280」 。 如 果 
散 列 函数 的 结果 不 在 这 个 范围 内 ， 则 它 必须 减 小 模 数 Vv。 





(3) Alice 计 算 D=rB4 mod n。 这 样 签 名 就 由 消息 M、 两 个 计算 值 d 
和 DD 以 及 她 的 凭证 J 组 成 。Alice 把 签名 发 送 Bob。 


(4) Bob 计 算 T' 二 DJ4 mod n， 然 后 再 计算 d=H (m, T) 。 如 果 
d=d， 那 么 Alice 必 然 知 道 B， 因 而 该 签名 有 效 。 


21.2.3 ”多重 签名 


如 果 多 个 人 想 对 同一 文件 进行 签名 该 怎么 办 ? 简单 的 解决 方法 是 他 
们 分 别 对 该 文件 进行 签名 ， 但 下 面 这 个 签名 方案 更 好 。Alice 和 Bob 对 同 
一 个 文件 进行 签名 ，Carol 来 验证 签名 。 可 以 有 任意 多 人 介入 签名 过 
程 。 与 前 面 同样 ，Alice 和 Bob 有 他 们 各 自 唯一 的 J 和 B 值 : Jy, Ba) 
和 Jg» Bg) 。n 和 v 的 值 是 整个 系统 公有 的 。 











(1) Alice 选 取 一 个 1~n-1 之 间 的 随机 整数 [4h ， 计 算 TA =" A mod 
n FJET, 发 送 给 Bob。 


(2) Bob 选 取 一 个 1~n-1 之 间 的 随机 整数 rp ， 计 算 Te =7B mod 
n， 并 把 Tp 发 送 给 Alice。 


(3) Alice 和 Bob 分 别 计算 T= (TA Tp ) modn。 


(4) Alice 和 Bob 分 别 计算 d=H (M，T) ， 其 中 M 是 待 签名 的 消 
KM, H Cx) 是 单 癌 散 列 函数 。 散 列 函 数 产 生 的 d 必 须 在 0 一 v-1 之 间 
[1280] 。 如 果 散 列 函 数 的 结果 不 在 这 个 范围 之 内 ， 则 它 必 须 减 小 模 数 


Vo 





(5) Alice 计 算 DPa 二 ”BA mod n ， 并 把 DA 发 送 给 Bob。 
= d 、 eee 
(6) Bobi Ds =rsBg mod n ， 并 把 Ds 发 送 给 Alice。 


(7) Alice 和 Bob 计 算 D=DA Dg modn。 这 样 签名 就 由 消息 M、 两 个 
计算 结果 d 和 D 以 及 他 们 的 凭证 JA 和 Jp 所 组 成 。 


(8) Carol 计 算 J=AA Jg mod n- 


(9) Carol 计 算 T' 二 DY J4 mod n。 然 后 计算 一 H (M, T) 。 如 果 
d=d'"， 那 么 该 复合 签名 有 效 。 


此 协议 可 推广 到 任意 多 个 人 的 情形 。 多 个 人 签名 时 ， 在 第 (3) 步 
他 们 分 别 将 所 有 的 Ti 值 相 乘 ， 在 第 (7) 步 将 所 有 的 Di EHR. WER 
合 签 名 时 ， 在 第 (8) 步 将 所 有 的 工 值 相 乘 。 全 此 ， 要 么 所 有 签名 都 有 


21.3 Schnorr 算法 


Claus Schnorr 鉴 别 与 签名 方案 【1396、1397」 的 安全 性 建立 在 计算 离 
散 对 数 的 难度 上 。 为 了 产生 一 密 钥 对 ， 首 移 选 取 两 个 素数 p 和 q，qd 是 p-1 
的 系数 因 了 于 。 然 后 选择 a (az1) ， 满 足 ad sl mod p。 所 有 这 些 数 可 由 一 
组 用 户 共用 ， 并 公开 发 布 。 


为 产生 特定 的 公开 密 钥 /私人 密 钥 密 钥 对 ， 选 择 一 个 小 于 qd 的 随机 
数 ， 也 就 是 私人 密 钥 s。 然 后 计算 v=as mod p， 也 就 是 公开 密 钥 。 


21.3.1 鉴别 协议 


(1) Peggy 选 取 一 个 小 于 q 的 随机 数 r， 并 计算 x=armodp。 这 是 预 
处 理 步 又， 可 在 Victor 出 现 之 前 完成 。 


(2) Peggy 传 送 x 给 Victor。 


(3) Victor 传 送 一 个 0 一 2 -1 之 间 的 随机 数 e 给 Peggy (下面 将 对 t 进 


{TIT VE) 
(4) Peggy 计 算 y= (rtse) modn， 并 把 y 传 送 给 Victor。 


(5) Victor 验 证 x=ayY ve mod p。 


安全 性 基于 参数 t， 破 解 该 算法 的 难度 大 约 是 2! 。Schnorr 建 议 p 大 约 
为 512 位 ，dq 为 140 位 ，t 为 72 位 。 


21.3.2 ”数字 签名 协议 


Schnoor 算 法 也 用 于 对 消息 M 的 数字 签名 协议 。 公 开 窗 钥 / 私 人 冤 钼 
密 钥 对 与 上 面相 同 ， 但 要 加 上 一 个 单 向 散 列 函数 H(M) 。 





(1) Alice 选 取 一 个 小 于 gq 的 随机 数 r， 并 计算 x=ar mod p， 这 是 预 处 
FEA RR 


(2) Alice 将 消息 M 与 x 连 接 起 来 ， 计 算 其 散 列 值 e=H (M, x) 。 


(3) Alice 计 算 y= (r+se) mod q。e 和 和 y 为 签名 。Alice 将 e 和 y 传 送 给 
Bob 。 


(4) Bob 计 算 X=ay ve modp， 然 后 进一步 证 实 消息 M 和 X 级 联 之 后 
的 散 列 结果 为 e=H (M, x) 。 如 果 成 立 ， 他 认可 该 签名 有 效 。 


Schnorr 在 他 的 论文 中 论述 了 该 算法 的 新 特点 : 


产生 签名 所 需 的 大 部 分 计算 都 可 在 预 处 理 阶 段 完 成 ， 并 且 这 些 计算 
与 竺 签名 的 消 妃 无 关 。 这 样 ， 可 在 空闲 时 间 进 行 计 算 ， 并 且 不 会 影响 俭 
名 速度 。 在 L475] 中 论述 了 一 种 针对 这 种 预 处 理 过 程 的 攻击 ， 但 我 认 


为 它 并 不 实用 。 


对 于 相同 的 安全 级 ，Schnorr 的 签名 长 度 比 RSA 短 。 例 如 ， 对 140 位 
长 的 g9， 签 名 仅 为 212 位 长 ， 低 于 RSA 签 名 长 度 的 一 半 。Schnorr 的 签名 长 
度 也 比 EIGamal 签 名 短 很 多 。 








当然 ， 实 际 因素 使 得 对 于 给 定 方案 可 使 用 更 短 的 位 。 例 如 ， 在 身份 
鉴别 方案 中 ， 其 骗 者 必须 在 几 秒 钟 内 完成 在 线 攻 击 ; 而 在 数字 签名 方案 
中 ， 欺 骗 者 为 了 伪造 签名 可 以 离线 计算 数 年 。 








Erie Brickell/ 和 Kevin McCurly 对 算法 进行 了 改进 ， 加 强 了 它 的 安全 
性 [265] 。 


21.3.3 ”专利 


Schnorr 在 美国 11298! 和 许多 其 他 国家 都 申请 了 专利 。1993 年 PKP 
取得 了 该 专利 在 全 世界 范围 的 使 用 权 〈 人 参见 25.5 节 ) 。 美 国 专利 于 2008 
年 2 月 19 日 到 期 。 


21.4 将 身份 鉴别 方案 转 为 数字 签名 方案 





有 一 个 将 身份 识别 方案 转 为 数字 签名 方案 的 标准 方法 : 用 一 个 单 向 
散 列 函数 取代 Victor。 消 妃 在 签名 之 前 并 不 进行 散 列 运算 ， 而 是 与 签名 
算法 结合 在 一 起 。 理 论 上 ， 对 任何 里 份 识别 方案 都 可 以 这 样 处 理 。 





第 22 章 ” 密 钥 交换 算法 


22.1 Diffie-Hellman 算 法 


Diffie-Hellman 算 法 是 第 一 个 公开 密 钥 算法 ， 早 在 1976 年 就 发 明了 
496] 。 其 安全 性 源 于 在 有 限 域 上 计算 离散 对 数 比 计算 指数 更 为 困难 。 
Diffie-Hellman 算 法 能 够 用 于 密 钥 分 配 (Alice 和 Bob 能 用 它 产 生 秘 密 密 
tH) ， 但 是 它 不 能 用 于 加 密 或 解密 消息 。 





数学 原理 很 简单 。 首 先 ，Alice 和 Bob 协 商 一 个 大 的 素数 n 和 g，g 是 
模 n 的 本 原 元 。 这 两 个 整数 不 必 是 秘密 的 ， 故 Alice 和 Bob 可 以 通过 即使 
是 不 安全 的 途径 协商 它们 。 它 们 可 在 一 组 用 户 中 公用 。 


协议 如 下 : 
(1) Alice 选 取 一 个 大 的 随机 整数 x， 并 发 送 给 Bob: X=g* mod n. 
(2) Bob 选 取 一 个 大 的 随机 整数 y， 并 发 送 给 Alice; Y=gy mod n- 
(3) Alice 计 算 k=Yx modn。 
(4) Bob 计 算 k' 二 XY mod n- 


k 和 Kk' 都 等 于 gY modn。 即 使 线路 上 的 饮 听 者 也 不 可 能 计算 出 这 个 


值 ， 他 们 只 知道 n、g、X 和 YY。 除非 他 们 计算 离散 对 数 ， 恢 复 x、y， 人 否 
则 无 济 于 事 。 因 此 k 是 Alice 和 Bob 独 立 计 算 的 秘密 密 钥 。 








gn 的 选取 对 系统 的 安全 性 有 很 大 的 影响 。 Cn-1) /2 也 应 该 是 一 个 
素数 LS) 。 最 重要 的 是 n 应 该 很 大 ， 因为 系统 的 安全 性 取决 于 与 n 同 
样 长 度 的 数 的 因子 分 解 的 难度 。 可 以 选择 任何 满足 模 n 的 本 原 元 g， 没 有 
理由 不 选择 所 能 选择 的 最 小 g 一 一 通常 只 是 个 1 位 数 〈 实 际 上 g 不 必 是 素 
数 ， 但 它 必须 能 产生 一 个 大 的 模 n 的 乘法 组 子 群 )。 











22.1.1 ”三方 或 多 方 Diffie-Hellman 





Diffie-Hellman 密 钥 交 换 协 议 很 容易 扩展 到 三 人 或 更 多 的 人 。 在 下 例 
中 ，Alice、Bob 和 Carol 一 起 产生 秘密 密 钥 。 


(1) Alice 选 取 一 个 大 的 随机 整数 x， 并 发 送 给 Bob: X=g* mod n. 
(2) Bob 选 取 一 个 大 的 随机 整数 y， 并 发 送 给 Carol: Y=gY modn。 
(3) Carol 选 取 一 个 大 的 随机 整数 z-， 并 发 送 给 Alice: Z=g” mod n- 
(4) Alice 发 送 给 Bob: Z=Zxmodn。 
(5) Bob 发 送 给 Carol: X'=XyY mod no 


(6) Carol 发 送 给 Alice: Y'=Y? mod n- 


(7) Alice 计 算 k=Yxmodn。 
(8) Bob 计 算 k=Z'Y mod no 
(9) Carol 计 算 k=X’z mod n- 


秘密 密 钥 k 王 gz modn， 没 有 其 他 人 能 计算 出 k 值 ， 这 个 协议 很 容 
易 扩 展 到 四 人 或 更 多 的 人 中 ， 只 是 增加 更 多 的 人 和 增加 计算 的 轮 数 。 


22.1.2 ”扩展 Diffie-Hellman 


Diffie-Hellman 算 法 也 可 用 于 交换 环 [12534 。Z.Shmuley 和 Kevin 
McCurley 研 究 了 这 种 算法 的 一 种 变型 ， 其 中 模 数 是 合 数 [1442、1038」 。 
V.S.Miller 和 Neal Koblitz 把 这 个 算法 扩展 到 椭圆 曲线 .1095、867」 。Taher 
ElGamal 基 于 这 些 基本 思想 开发 了 一 个 加 密 和 数字 签名 算法 (参见 19.6 





DE 


该 算法 也 可 用 于 Galois 域 GF (25) [1442 1038] 。 有 些 实现 已 经 用 
到 了 该 算法 [884 1631, 1632] ， 因 为 其 计算 速度 很 快 。 同 样 ， 密 码 分 析 
计算 速度 也 非常 快 ， 因 此 仔细 选择 一 个 足够 大 的 域 以 保证 安全 性 是 非常 
重要 的 。 


22.1.3 Hughes 


Diffie-Hellman 的 这 种 变型 允许 Alice 产 生 一 个 密 钥 并 发 送 给 Bob 


[745] | 
(1) Alice 选 取 一 个 大 的 随机 整数 x， 并 产生 k=g*x mod n- 
(2) Bob 选 取 一 个 大 的 随机 整数 y， 并 发 给 Alice; Y=gy mod n- 
(3) Alice 发 送 给 Bob: X=Yxmodn。 
(4) Bob 计算 z=yl ，k' 一 Xz mod n. 
如 果 整 个 过 程 没 有 差错 ， 那 么 k=k'。 


与 Diffie-Hellman 相 比 ， 该 协议 的 优点 在 于 k 能 在 交互 之 前 计算 ， 
Alice 在 接触 Bob 之 前 束 能 够 用 k 加 密 消 轧 。 她 可 以 把 k 发 送 给 任何 人 ， 然 
后 与 他 们 交互 ， 以 便 分 别 交 换 密 钥 。 


22.1.4 ”不 用 交换 密 钥 的 密 钥 交换 


如 果 你 有 一 个 用 户 群 ， 每 个 用 户 都 可 以 在 公用 数据 库 发 布 一 个 公开 
密 钥 : X=g* modn。 如 果 Alice 想 与 Bob 通 信 ， 她 只 需 取 回 Bob 的 公开 密 
钥 ， 并 产生 他 们 共享 的 秘密 密 钥 。 然 后 她 用 这 个 密 钥 加 密 消息 并 发 送 给 
Bob。Bob 也 将 取 回 Alice 的 公开 密 钥 来 产生 他 们 之 间 共 享 的 秘密 密 钥 。 





每 一 对 用 户 有 唯一 的 秘密 密 铀 ， 他 们 之 间 不 需要 预先 的 通信 过 程 。 








为 了 防止 欺骗 攻击 ， 公 开 密 钥 必 须 是 经 过 鉴定 的 ， 并 且 应 该 定期 改变 ， 
不 管 怎样 这 是 很 好 的 主意 。 


22.1.5 Fil 


Diffie-Hellman 密 钥 交换 算法 在 美国 [718] 和 加 拿 大 [719] 都 获得 
了 专利 。 由 公开 密 钥 合作 商 (PKP) 颁布 许可 证 ， 包 括 另 外 一 些 公 开 密 
钥 算 法 的 专利 权 (参见 25.5 节 ) 。 美 国 专利 在 1997 年 4 月 29 日 到 期 。 


22.2 ”站 间 协 议 
Diffie-Hellman 密 钥 交 换 协 议 容 易 受 到 中 间 人 攻击 。 防 止 这 种 攻击 的 
一 个 方法 是 让 Alice 和 Bob 分 别 对 消息 签名 150] 


协议 假定 Alice 有 Bob 的 公开 密 钥 证 书 ， 同 时 Bob 有 Aljlice 的 公开 密 铀 
证 书 。 这 些 证 书 由 协议 之 外 的 一 些 值得 信赖 的 机 关 签 名 。 下 面 是 Alice 和 
Bob 产 生 秘 密 密 钥 k 的 过 程 : 


(1) Alice 产 生 随 机 数 x， 并 把 它 发 送 给 Bob。 


(2) Bob 产 生 随 机 数 y。 根 据 Diffie-Hellman 协 议 ， 他 计算 他 们 之 间 
基于 x、y 的 共享 秘密 密 钥 k。 他 对 x、y 签 名 ， 并 且 用 k 加 密 签 名 。 然 后 把 
它 和 y 一 起 发 送 给 Alice: 


y, Ek (Sp (x, y) ) 


(3) Alice 也 计算 k。 她 对 Bob 发 送 的 消息 解密 ， 并 验证 他 的 签名 。 
然后 她 把 包括 x、y 的 签名 消息 用 他 们 的 共 胖 密 钥 加 密 后 发 送 给 Bob: 


EF, (Sq (x, yd D 


(4) Bob 解 密 消息 并 验证 Alice 的 签名 。 


22.3 ”Shamir 的 三 次 传递 协议 


Shamir 发 明 但 从 未 公开 的 这 个 协议 能 使 Alice 和 Bob 无 需 预 先 交 换 任 
何 秘密 密 钥 或 公开 密 钥 就 可 进行 保密 通信 1008 











这 里 假设 存在 一 个 可 交换 的 对 称 密码 : 
E, (Ep (P) ) =Ep (Eq (P) ) 


Aljlice 的 秘密 密 钥 是 A，Bob 的 秘密 密 钥 是 B，Alice 想 给 Bob 发 送 一 个 
消息 M， 协议 如 下 : 


(1) Alice 用 她 的 密 钥 加 密 M， 同 时 把 密 文 发 给 Bob: 
Ci =EA (M) 

(2) Bob 用 他 的 密 钥 加密 C; ， 同 时 把 密 文 发 给 Alice: 
C) =Ep (Eq (M) ) 

(3) Alice 用 她 的 密 钥 解密 C, ， 同 时 把 结果 发 给 Bob: 


C3 =DA (Ep (Ea (M) ) ) =DA (Ea (Ep (M) ) ) =Ep 
(M) 





(4) Bob 用 他 的 密 钥 解密 Cs 恢复 明文 消息 M。 


一 次 一 密 乱码 本 是 可 交换 且 完 全 保密 的 ， 但 它们 不 能 用 在 这 个 协议 
中 。 若 采用 一 次 一 密 乱 码 本 ， 三 个 密 文 消息 将 是 ， 


C,=P@A 
C, =P® A ®B 
C; =P ®B 


当 这 三 个 密 文 在 Alice 和 Bob 之 间 传 递 时 ，Eve 能 记 下 和 它们， 然后 简 
单 地 把 它们 异 或 便 可 恢复 明文 消息 : 





Cl PC, BC3= (PGA) © (PGAGB) G (PSB) =P 
这 显然 是 不 行 的 。 


Shamir (Jim Omura 也 独立 地 ) 描述 了 一 个 适 于 该 协议 的 加 密 算 
法 ， 它 类 似 于 RSA。 设 p 是 一 个 大 素数 ，p-1 有 一 个 大 的 素数 因子 ， 选 择 
加 密 密 钥 e， 使 e 与 p-1 互 素 。 计 算 d， 使 de=1mod (p—1) 。 


加 密 消 息 时 ， 计算 : 
C=M* mod p 


解密 时 则 计算 : 


M=Cdmodp 
看 起 来 不 解决 离散 对 数 问 题 Eve 便 无 法 恢复 M， 但 这 尚未 被 证 明 。 


与 Diffie-Hellman 类 似 ， 该 协议 允许 Alice 在 不 知道 Bob 的 任何 密 钥 的 
情况 下 ， 便 可 与 Bob 通 信 。 若 Alice 使 用 公开 密 钥 算 法 ， 她 必须 知道 Bob 
的 公开 密 钥 。 按 照 Shamir 三 次 传递 协议 ， 她 只 需 把 密 文 消息 发 送 给 
Bob; 而 如 果 使 用 公开 密 钥 算法 ， 则 要 : 


(1) Alice 向 Bob (或 KDC) 请 求 获得 他 的 公开 密 钥 。 
(2) Bob (或 KDC) 把 他 的 公开 密 钥 发 送 给 Alice。 
(3) Alice 用 Bob 的 公开 密 钥 加 密 M 并 把 它 发 送 给 Bob。 


Shamir 三 次 传递 协议 不 能 防止 中 间 人 攻击 。 


22.4 COMSET 协 议 


COMSET 是 为 RIPE 项 目 研制 的 相互 识别 和 密 钥 交换 的 协议 £1805 J 
《参见 25.7 节 ) 。 该 协议 使 用 公开 密 钥 密码 ， 人 允许 Alice 和 Bob 相 互 识 
别 ， 也 可 交换 秘密 密 钥 。 


COMSET 背 后 的 数学 原理 是 Rabin 方 案 [1283」 (参见 19.5 节 ) 。 这 
个 方案 最 初出 现在 文献 [224] 中 ， 详 细 情 况 见 文献 [1305] 。 





22.5 ”加密 蜜 钥 交 换 


Steve Bellovin 和 Michael Merritt 设 计 了 加 密 密 钥 交换 (EKE) 协议 
L109] 。 它 以 一 种 新 奇 的 方法 同时 使 用 对 称 和 公开 密 钥 密码 给 计算 机 网 
络 提供 了 安全 性 和 鉴别 。 该 方法 用 共享 的 秘密 密 钥 加 密 随 机 产生 的 公开 
ZEH, 





22.5.1 基本 EKE 协 议 


Alice 和 Bob【〔 两 个 用 户 、 一 个 用 户 和 主机 ， 或 其 他 什么 〉 共 至 一 个 
公共 口令 P， 利 用 这 个 协议 ， 他 们 能 相互 鉴别 并 产生 一 个 公共 会 话 密 钥 


K 


(1) Alice 产 生 一 个 随机 公开 密 钥 / 私人 密 钥 密 钥 对 ， 并 用 对 称 算 
法 和 P 作 为 密 钥 对 公开 密 钥 K' 进 行 加 密 : Ep 〈K') ， 将 结果 发 送 给 
Bob: 


A, Ep (K’) 


(2) Bob 知 道 P， 他 解密 这 个 消息 得 到 K'， 然 后 产生 一 个 随机 会 话 
密 钥 K， 用 从 Alice 处 得 到 的 公开 和 密 钥 和 P 作 为 密 钥 来 加 密 K， 并 把 它 发 送 


给 Alice: 


Bp CE (K)) 





(3) Alice 解 密 该 消息 获得 K， 她 产生 一 个 随机 串 Ra。， 用 K 加 密 
后 ， 发 送 给 Bob: 


Fx (Ra) 


(4) Bob 解 密 这 个 消息 得 到 RA ， 他 产生 另 一 个 随机 串 Re ， 用 K 加 
密 这 两 个 串 ， 同 时 把 结果 发 送 给 Alice: 


Ee (Res Reo 





(5) Alice 解 密 该 消息 获得 RA 和 Rp ， 假 设 她 从 Bob 处 得 到 的 RA 与 
她 在 第 (3) 步 发 送 给 Bob 的 RA 一 样 ， 她 就 用 K 加 密 Rp 同时 把 它 发 送 给 
Bob: 


Ex (Rg) 





(6) Bob 解 密 该 消 轧 获得 Rs ， 假 定 他 从 Alice 处 得 到 的 Re 与 他 在 第 
(4) 步 发 送 给 Alice 的 Re 相同 ， 这 个 协议 便 完成 了 ， 现 在 双方 可 用 K 作 
为 会 话 密 钥 进行 通信 。 





在 第 (3) 步 中 ，Alice 和 Bob 两 人 都 知道 K' 和 K，K 是 会 话 密 钥 ， 用 
它 可 加 密 Alice 和 Bob 之 间 的 所 有 其 他 消息 。 处 于 Alice 和 Bob 之 间 的 Eve 
仅 知 道 E (K) . Ep Œp (K) ) 和 一 些 用 K 来 加 密 的 消息 。 在 其 他 


协议 中 ，Eve 能 够 猜测 P (人 们 总 是 选择 坏 的 口令 ， 并 且 如 果 Eve 足 够 陪 
明 ， 她 总 可 做 一 些 好 的 猜测 ) ， 然 后 证 实 她 的 猜测 。 但 在 这 个 协议 中 ， 
在 没有 破译 公开 密 钥 算法 之 前 ，Eve 不 能 证 实 她 的 猜想 。 如 果 K 和 K' 两 
个 都 随机 选择 ， 这 瓯 是 一 个 无 法 解决 的 难题 。 


协议 的 第 G) ~ (6) 步 的 挑战 -应 答 部 分 证 实 了 协议 的 有 效 性 ， 
第 (3) ~ (5) 步 Alice 证 实 了 Bob 知 道 K， 第 (4) ~ (6) 步 Bob 证 实 
了 Alice 知 道 K。Kerberos 协 议 时 间 标 记 交 换 能 完成 相同 的 事情 。 


EKE 能 用 各 种 公共 密 钥 算法 实现 : RSA, ElGamal, Diffie- 
Hellman。 用 背包 算法 实现 的 EKE 存 在 着 安全 问题 〈 撒 开 背 包 算 法 固有 
的 不 安全 性 不 谈 ) : 密 文 消息 的 分 布 对 EKE 不 利 。 


22.5.2 ”用 RSA 实 现 EKE 

RSA 算 法 看 来 很 适合 这 种 应 用 ， 但 还 存在 一 些微 妙 的 问题 。 设 计 者 
建议 在 第 (1) 步 仅 对 加 密 指 数 加 密 而 模 数 以 明文 形式 发 送 ， 其 理由 以 
及 使 用 RSA 时 涉及 的 其 他 细节 问题 在 文献 [109] 中 有 说 明 。 


22.5.3 ”用 ElGamal 实 现 EKE 


用 ElGamal 算 法 实现 EKE 是 很 容易 的 ， 甚 至 还 有 一 种 基本 协议 中 的 
简化 形式 。 使 用 19.6 节 中 的 概念 ，g 和 p 是 所 有 用 户 公用 的 公开 密 钥 部 


分 ， 私 人 密 钥 是 随机 数 r， 公 开 和 密 钥 是 g mod p。 在 第 (1) H, Alice 
KGS ZG Bob NITE AAR: 


Alice,  g'modp 


注意 ， 这 个 公开 和 密 钥 不 必用 p 来 加 密 。 在 一 般 情况 下 ， 这 是 不 正确 
的 。 但 对 ElGamal 算 法 它 是 正确 的 。 详 情 见 文献 L109] 。 


Bob 选 择 随 机 数 R (专门 针对 ElGamal 算 法 ， 日 与 EKE 中 选择 的 所 有 
随机 数 都 无 关 ) ， 在 第 (2) 步 中 他 发 送 给 Alice 的 消息 变 为 : 


Ep (gÈ mod p, Kg®" mod p) 


对 于 ElGamal， 选 择 变 量 的 限制 参见 19.6 节 。 
22.5.4 用 Diffie-Hellman 实 现 EKE 


根据 Diffie-Hellman 协 议 ，K 是 自动 产生 的 。 最 终 的 协议 甚至 更 简 
单 ，g 和 和 n 的 值 对 网 络 中 的 所 有 用 户 都 相同 。 


(1) Alice 选 择 随 机 数 ra 并 发 送 给 Bob: 
A,g"4 mod n 


使 用 Diffie-Hellman，Alice 不 必用 P 来 加 密 她 的 第 一 个 消息 。 


(2) Bob 选择 一 个 随机 数 re ， 并 计算 : 
K = gar modn 


他 产生 一 个 随机 串 Re ， 然 后 计算 并 发 给 Alice: 





Ep (g's modn) 9 Fe 


(3) Alice 解 密 该 消息 的 前 一 半 获 得 8 2 MOd 72 ， 然 后 计算 
K， 并 用 K 来 解密 Ra 。 她 产生 另 一 个 随机 囊 Ra ， 用 K 来 加 密 这 两 个 随机 
串 ， 同 时 把 结果 发 送 给 Bob; 


Ee (Res Rp 


(4) Bob 解 密 消息 得 到 RA 和 Rp 。 假 定 他 从 Alice 处 得 到 的 Re 与 他 
FER (2) 步 中 发 送 给 Alice 的 Re 一 样 ， 他 便 用 K 加 密 RA ， 并 把 它 发 送 


给 Alice: 
Ex (Ra) 


(5) Alice 解 密 该 消息 得 到 RA 。 假 定 她 从 Bob 处 得 到 的 RA 与 她 在 
第 G) 步 中 发 送 给 Bob 的 RA 一 样 ， 那 么 这 个 协议 就 完成 了 。 现 在 双方 
可 用 K 作 为 会 话 密 钥 开 始 通信 。 


22.5.5 ”加强 的 EKE 
Bellovin 和 Merritt 提 出 一 个 增强 协议 挑战 -应 答 部 分 的 建议 ， 以 防止 
密码 分 析 者 恢复 旧 的 K 值 的 可 能 攻击 。 


对 照 基本 的 EKE 协 议 ， 在 第 (3) 步 ，Alice 产 生 另 一 个 随机 数 SA ， 
同时 发 送 给 Bob: 


Ex (Ra, Sa) 
在 第 (4) 步 ，Bob 产 生 另 一 个 随机 数 Seg ， 同 时 发 送 给 Alice: 


Ee (hia haa Se 





Alice 和 Bob 现 在 可 以 同时 计算 会 话 密 钥 S$、@Sp 。 这 个 密 钥 可 用 于 
Alice 和 Bob 之 间 所 有 以 后 的 消息 ，K 只 用 作 密 钥 交 换 密 钥 。 


考察 EKE 提 供 的 保护 级 别 ， 恢 复 S 值 不 会 给 Eve 关于 P 的 任何 信息 ， 
因为 P 没 有 直接 用 来 加 密 可 直接 导出 S 的 任何 东西 。 对 K 的 密码 分 析 攻 击 
也 是 不 可 行 的 ， 因 为 K 仅 用 来 加 密 随 机 数据 ， 且 S 从 没有 蛙 独 加 密 。 








22.5.6 ”扩充 的 EKE 


EKE 协 议 存 在 一 个 严重 的 缺陷 : 它 需要 双方 都 知道 P。 绝 大 多 数 基 
于 口令 的 鉴别 系统 存储 的 是 用 户口 令 的 单 向 散 列 值 ， 而 不 是 口令 本 身 


(参见 3.2 节 ) 。 扩 充 的 EKE 协 议 (AEKE) 使 用 用 户口 令 的 单 向 散 列 值 
作为 用 Diffie-Hellman 实 现 的 EKE 变 型 中 的 超级 密码 。 用 户 发 送 用 初始 口 
令 加 密 的 额外 消息 ， 这 个 消息 用 来 鉴别 新 选择 的 会 话 密 钥 。 


以 下 是 协议 过 程 。 通 常 ，Alice 和 Bob 想 要 相互 鉴别 并 产生 一 个 公用 
的 密 钥 。 他 们 协商 某 个 数字 签名 方案 ， 其 中 有 些 数字 可 以 用 于 私人 密 
钥 ， 并 方案 中 的 公开 密 钥 可 以 从 私人 密 钥 导出 ， 而 不 是 和 私人 密 钥 一 起 
产生 。ElGamal 和 DSA 算 法 很 适合 这 个 方案 。Alice 的 口令 P (或 口令 的 
简单 散 列 值 ) 将 用 作 私 人 密 钥 ， 并 记 为 P'。 











(1) Alice 选 取 一 个 随机 指数 RA ， 并 发 送 ; 
Ep (g*4mod n) 
(2) Bob 只 知道 P， 但 不 能 从 中 得 出 P， 他 选取 一 个 随机 指数 Re ， 
并 发 送 ; 
Ep (g*8 mod n) 


R, XR 
(3) Alice 和 Bob 都 能 计算 共享 的 会 话 密 作 一 g`a” amod n ; 


最 后 ，Alice 通 过 发 送 下 面 的 消息 ， 证 实 她 知道 的 是 P， 而 不 是 P': 





Ex (Sp (K) ) 


Bob 知 道 K 和 了 P'， 他 能 解密 并 验证 签名 。Alice 仅 在 知道 P 时 ， 才 能 发 
送 消 息 。 一 个 获得 Bob 口 令 文件 的 入 侵 者 能 尽力 猜 出 P， 但 不 能 对 会 话 
密 钥 签名 。 





由 于 是 一 方 选 取 会 话 密 钥 而 另 一 方 应 用 ， 所 以 A-EKE 方 案 不 能 与 
EKE 的 公开 密 钥 变型 一 起 工作 。 这 使 得 中 间 人 攻击 能 通过 捕获 P' 来 发 动 
攻击 。 


22.5.7 EKE 的 应 用 


Bellovin 和 Merritt 建 议 在 保密 公用 电话 中 使 用 该 协议 (109! : 


我 们 假设 安装 了 多 部 加 密 的 公用 电话 。 如 果 有 人 想 用 其 中 的 一 部 电 
话 ， 他 必须 提供 茶 种 密 钥 信 息 。 传 统 的 解决 办 法 就 是 要 求 呼叫 者 有 一 把 
物理 钥匙 ， 但 这 在 很 多 场合 是 不 理想 的 。EKE 则 允许 使 用 一 种 较 短 的 用 
键盘 输入 的 口令 ， 但 用 于 通话 的 会 话 密 钥 要 长 得 多 。 





对 于 蜂 负 电话 系统 EKE 也 适用 。 在 蜂窝 电话 中 ， 欺 骗 已 成 为 令 人 头 
痛 的 问题 。EKE 可 以 克服 这 一 难题 〈 且 确保 通话 的 保密 ) 。 采 用 的 方法 
是 ， 如 果 使 用 者 不 输入 正确 的 个 人 识别 号 (PIN) ， 电 话机 就 不 能 使 
用 。 由 于 PIN 并 不 存放 在 电话 机 内 ， 上 所 以 想 从 偷 来 的 电话 机 中 找 出 PIN 
是 不 可 能 的 。 


EKE 的 基本 强度 以 一 种 对 称 密码 和 公开 密 钥 密码 学 都 得 到 加 强 的 方 
式 联合 使 用 这 两 种 密码 系统 : 


从 一 般 的 观点 看 来 ，EKE 起 一 种 秘密 放大 器 的 作用 。 也 就 是 说 ， 当 
对 称 的 和 非 对 称 系统 一 起 使 用 时 ， 可 加 强 这 两 种 比较 弱 的 密码 系统 。 例 
如 ， 当 使 用 指数 密 钥 交换 时 ， 我 们 考虑 需要 保持 安全 性 的 密 钥 的 长 度 。 
LaMacchia 和 Odlyzko 已 证 明 [934」 ， 兽 经 认为 安全 的 模 数 长 度 〈 即 192 
位 ) 是 脆弱 的 ， 计 算 机 仅 需 几 分钟 就 能 破译 它 。 但 若 在 攻击 之 前 必须 猜 
出 口令 ， 则 攻击 是 不 可 行 的 。 





反之 ， 破 详 指数 密 钥 交换 的 难度 能 用 于 挫败 猜测 口令 的 所 有 企图 。 
青 测 口令 攻击 是 可 行 的 ， 因 为 每 一 次 猜测 部 可 非常 快 地 得 到 验证 。 如 果 
完成 这 样 的 验证 需要 求解 一 个 指数 密 钥 交换 ， 假 如 不 是 概念 上 的 困难 ， 
那么 总 的 时 间 将 急剧 增加 。 





EKE 已 申请 专利 H 。 


22.6 ”加 强 的 密 钥 协商 


这 个 方案 也 可 防止 密 钥 协商 受到 拙劣 选择 口令 和 中 间 人 攻击 “4 
983] 。 它 利用 了 具有 特殊 性 能 的 两 个 变量 的 散 列 函数 : 在 第 二 个 变量 没 
有 明显 冲突 时 ， 第 一 个 变量 存在 许多 冲突 。 





H' (x, y) =H (H (k, x) mod2™, x) 


HHHH (Ck, x) 是 k、x 的 普通 的 散 列 函数 。 


协议 如 下 。Alice 和 Bob 共 享 一 个 密 钥 口令 P， 用 Diffie-Hellman 密 钥 
交换 协议 得 到 一 个 秘密 密 钥 K。 他 们 用 P 验 证 两 个 会 话 密 钥 是 否 一 样 
CEve 不 可 能 采用 中 间 人 攻击 ) ，Eve 不 可 能 得 到 P。 


(1) Alice 发 送 给 Bob: 


H' (P, K) 


(2) BobitH' (P, K) ， 并 与 他 从 Alice 处 收 到 的 比较 。 如 果 一 
致 ， 他 发 送 给 Alice: 


H CH (P, K) ) 


(3) Alice 计 算 H' (H (P, K) ) 并 与 她 从 Bob 处 收 到 的 比较 。 


如 有 果 Eve 正 在 试图 采用 中 间 人 攻击 ， 她 与 Alice 共 享 一 个 密 钥 Ki ， 与 
Bob 共 享 另 一 个 密 钥 K, 。 为 了 在 第 (2) 步 欺 骗 Bob， 她 必须 计算 出 共享 
口令 ， 然 后 发 送 H' (P, K) 给 Bob。 对 于 一 般 的 散 列 函数 ，Eve 能 试 出 
一 个 正确 的 共享 口令 ， 然 后 成 功 入 侵 协 议 。 但 对 于 两 个 变量 的 散 列 函 
数 ， 很 多 口令 与 Ki 一 起 散 列 时 能 导出 同样 的 结果 。 因 此 ， 当 她 找到 一 
个 匹配 的 口令 时 ， 有 可 能 只 是 错误 的 口令 ， 并 不 能 欺骗 Bob。 








22.7 ”会 议 密 钥 分 发 和 秘密 广播 


Alice 想 通过 单一 的 发 射 机 广播 消息 M。 然 而 她 不 想 让 每 一 个 听众 都 
理解 。 事 实 上 ， 她 只 想 其 中 选 定 的 一 部 分 人 能 恢复 M， 而 其 他 人 得 不 到 
任何 信息 。 





Alice 能 与 每 一 个 听众 共享 一 个 不 同 的 密 钥 (公开 密 钥 或 秘密 密 
钥 ) 。 她 用 随机 冤 钥 K 加 密 消 轧 ， 然 后 用 每 一 个 听众 的 密 钥 加 密 密 钥 K 
9 副本。 了 基 后 ， 她 广播 加 密 消 息 和 每 一 个 加 密 的 K。 上 听众 Bob 用 他 的 秘 
密 密 钥 解密 所 有 的 密 钥 K， 得 到 正确 的 密 钥 。 如 果 Alice 并 不 在 乎 大 家 知 
道 她 的 消 妃 是 给 谁 的 ， 她 可 以 把 听众 的 名 字 附 在 密 钥 之 后 。 以 前 讨论 的 
多 重 密 钥 密码 也 可 用 于 此 。 


reas 


在 文献 [352] 中 给 出 了 另 一 种 方法 。 首 先 ， 每 一 个 听众 与 Alice 共 
吾 一 个 秘密 密 钥 ， 其 中 密 钥 比 要 加 密 的 消息 长 。 所 有 的 这 些 密 钥 都 是 成 
对 的 素数 。 她 用 随机 密 钥 K 加 密 消息。 然后 她 计算 一 个 整数 R， 满 足 R 模 
用 于 解密 消息 的 秘密 密 钥 与 K 同 余 ， 而 R 模 其 他 的 秘密 密 钥 与 0 同 余 。 


例如 ， 如 果 Alice 只 想 秘密 消息 被 Bob、Carol 和 Ellen 接 收 ， 但 不 包括 
Dave 和 Frank， 她 束 用 K 加 密 消 息 ， 然 后 计算 R: 


R=K (mod Kg ) 


R=K (mod Kc ) 
R=0 (mod Kn) 
R=K (mod Kg ) 
R=0 (mod Kg ) 


这 是 一 个 简单 的 代数 问题 ，Alice 能 很 容易 地 解 出 。 当 听众 收 到 广播 
时 ， 仓 们 计算 收 到 的 密 钥 模 他 们 的 秘密 密 铀 。 如 条 他 想 接收 消 轧 ， 则 恢 
RAH: 否则， 什么 也 不 做 。 





第 三 种 方法 是 文献 [141] 中 建议 的 门限 方案 〈 参 见 3.7 节 ) 。 与 其 
他 方案 一 样 ， 每 一 个 潜在 的 接收 者 得 到 一 个 秘密 密 钥 。 在 非 创 建 门限 方 
案 中 ， 该 密 钥 是 不 可 见 的 。Alice 为 自己 保存 一 些 秘密 密 钥 ， 并 给 系统 增 
加 一 些 随机 性 。 假 设 有 k 个 人 。 





广播 消息 M 时 ，Alice 用 K 加 密 消息 M， 然 后 : 


(1) Alice 选 取 一 个 随机 数 j， 这 个 数 用 于 隐藏 消息 接收 者 的 数量 。 
它 不 必 很 大 ， 甚 至 可 以 小 到 0。 


(2) Alice 创 建 〈k+j+1，2k+j+l) 的 门限 方案 ， 满 足 : 


接收 者 的 秘密 密 钥 作为 影 
非 接收 者 的 秘密 密 钥 不 作为 影子 。 


是 随机 选取 的 影子 ， 对 于 每 一 个 秘密 密 钥 都 不 一 样 。 





(3) Alice 广 播 k+j 个 随机 选取 的 影子 ， 而 不 是 在 第 (CQ) 步 中 选取 
的 影子 。 


(4) 所 有 接收 到 广播 的 听众 在 k+j 后 加 上 他 们 的 影 于 。 如 果 加 上 影 
子 后 可 以 计算 秘密 密 钥 ， 则 他 们 恢复 密 钥 ， 如 果 不 行 ， 则 什么 也 不 做 。 


另 一 种 方案 见 文献 【885、886、1194] ， 还 有 一 种 方案 见 文献 
[1000] 。 


22.7.1 UTIR 


该 协议 允许 一 组 n 个 用 户 通 过 不 安全 信道 协商 秘密 密 钥 。 组 用 户 共 
诗 两 个 大 的 系数 p、q 和 与 g 有 同样 长 度 的 生成 元 g。 


(1) 用 户 i (1<i<n) 选取 一 个 小 于 g 的 随机 数 m ， 并 广播 
g = g mod p 


ee | 
(2) 每 个 用 户 验 证 i =1 (modp) (1<i<n) 。 


(3) ALP i 播 


(214/24) mod p 
(4) 用 户 i 计 算 
K = kea) Mat Xa x KX we» mod p 
上 述 协议 的 所 有 下 标 运算 (i-1、i-2 和 i+1〉 应 该 模 n。 协 议 的 最 后 ， 
每 一 个 诚实 的 用 户 都 得 到 相同 的 K， 其 他 人 不 可 能 得 到 任何 东西 。 然 


而 ， 这 个 协议 容易 遭 到 中 间 人 攻击 。 另 一 个 不 很 完美 的 协议 见 文献 
[757] 。 


22.7.2 Tatebayashi-Matsuzaki-Newman 


该 密 钥 分 发 协议 适用 于 网 络 [1521」 。Alice 想 通过 Trent (KDC) 与 
Bob 产 生 会 话 密 铀 。 网 络 中 所 有 用 户 都 知道 Trent 的 公开 密 铀 n。Trent 知 
道 n 的 两 个 大 素数 因子 ， 因 此 很 容易 计算 n 的 三 次 方 根 模 n。 下 面 描述 的 
协议 省 掉 了 许多 细 市 ， 但 是 你 可 以 明日 它 : 





(1) Alice 选 取 一 个 随机 数 rs ， 并 发 送 给 Trent: 


ry, mod n 


(2) Trent 告诉 Bob 有 人 想 与 他 交换 密 铀 。 


(3) Bob 选 取 一 个 随机 数 re ， 并 发 送 给 Trent: 


rs mod n 
(4) Trent 用 他 的 秘密 密 钥 恢 复 rs 和 re ， 并 发 送 给 Alice: 
ra Org 
(5) Alice 计 算 : 
(ry Brp) Org =rp 
她 用 rp 与 Bob 安 全 地 通信 。 


该 协议 看 起 来 不 错 ， 但 有 一 个 可 怕 的 缺陷 。Carol 能 在 第 (3) 步 监 
听 ， 并 在 坚 无 怀疑 的 Trent 惫 一 个 怀 有 恶意 的 用 户 Dave 的 帮助 下 利用 
那个 信息 ， 并 恢复 rp H 。 





(1) Carol 选 取 一 个 随机 数 rc ， 并 发 送 给 Trent: 
D mee 
rere mod n 


(2) Trent 告诉 Dave 有 人 想 与 他 交换 密 铂 。 


(3) Dave 选 取 一 个 随机 数 rp ， 并 发 送 给 Trent: 

ry mod n 
(4) Trent 用 他 的 秘密 密 钥 恢 复 rc 和 r ， 并 发 送 给 Carol: 
(rg rc ) mod n ®rp 


(5) Dave 把 mm 发 送 给 Carol。 


(6) Carol 用 rc 和 rp 恢复 rp ， 融 可 贸 听 Alice 和 Bob 之 间 的 通信 了 。 


第 23 草 ”协议 的 专用 算法 


23.1 多 重 密 钥 的 公开 密 销 密码 系统 


这 是 RSA 的 一 种 推广 (参见 19.3 节 ) L217 212] 。 模 数 n 是 两 个 素数 
p 和 gq 的 乘积 ， 人 然而， 这 里 不 是 选择 e 和 d 使 得 ed=1 mod ( (p-1) Cq- 
1) ) ， 而 是 选择 t 个 密 钥 K; ， 使 得 


K, xK, x...xK,=1 mod ( (p-1) (q-1) ) 
因为 

M1*K2** XK, = M 
OBL ES.S T PAR & E AHIR 


例如 ， 有 5 个 密 钥 ， 用 Ks 和 Ks 加 密 的 消 轧 能 用 Ki ~ Ky 和 Ks 解 


中 


C= M3*fs mod n 


M= Cnu mod n 


这 可 用 于 多 重 签名 。 设 想 在 一 种 情况 下 ，Alice 和 Bob 都 必须 签 普 一 


个 文件 才能 使 之 合法 化 。 可 以 使 用 3 个 密 钥 : Kio Ky 和 Ks ， 前 两 个 发 


送 给 Alie 和 Bob 各 一 个 ， 第 三 个 公开 。 
(1) Alice 首 先 签署 M， 并 发 送 给 Bob: 
M = M5: mod n 
(2) Bob 可 以 从 M' 中 恢复 M 
M = M ”Ks mod n 


(3) Bob 还 可 以 添加 目 己 的 签名 : 


M” = Mr: mod n 


(A) 任何 人 都 能 用 公开 密 钥 Ks 验证 这 个 签名 ， 
/ 
M = M"*s mod n 


注意 ， 可 信 方 必须 设置 这 种 系统 ， 并 将 密 钥 分 配给 Alice 和 Bob。 具 
有 相同 问题 的 另 一 个 方案 见 文献 [484]。 此 外 还 有 第 三 个 方案 见 文献 
[695、830、700」， 但 是 验证 方面 的 成 效 与 签名 者 的 数量 成 正比 。 基 
于 零 知 识 签 别 方案 的 最 新 方案 1220 120] 解决 了 上 述 系 统 的 两 个 缺 


陷 。 





23.2 ”秘密 共享 算法 





在 3.7 节 中 论述 了 秘密 共享 方案 的 想法 。 下 面 4 个 不 同 的 算法 基于 一 


般 理 论 框 架 的 所 有 特定 情况 


[883] | 


23.2.1 LaGrange 插值 多 项 式 方案 





Adi Shamir 利 用 有 限 域 中 的 多 项 式 方程 来 构造 门限 方案 “1 和 4 。 选 
择 一 个 素数 p， 使 之 比 可 能 的 影子 数目 和 最 大 可 能 秘密 都 大 。 共 至 秘密 


需要 产生 一 个 次 数 为 m-1 的 任意 多 项 式 。 例 如 ， 如 果 打 算 形成 
个 影子 )， 则 产生 一 个 二 次 多 项 式 : 





时 ， 
(3, n 门限 方案 ( 重 构 M 需 要 3 


(az +bx +M) mod p 


HP pze SEC ATA RADA REAL. ARAMA, 6 


SREP IEE. ME. RADA 





们 是 秘密 的 ， 在 分 
子 通 过 计算 该 多 项 式 在 几 个 不 同 点 上 的 值得 到 : 


= F(x) 





第 二 个 影子 就 是 





换 句 话说 ， 第 一 个 影子 就 是 多 项 式 在 x=1 的 值 ， 


项 式 在 x=2 的 值 ， 





以 此 类 推 。 





由 于 二 次 多 项 式 有 3 个 未 知 系数 a、b 和 M， 因 此 ， 任 意 3 个 影子 都 能 
用 来 建立 3 个 方程 。2 个 影子 不 能 ，1 个 影子 也 不 能 ，4 或 5 个 影子 则 是 多 
余 的 。 











例如 ， 设 M=11， 构 造 43，5) 门限 方案 ， 在 这 个 方案 中 5 个 人 中 任 
意 3 个 都 能 重 构 M， 首 移 产 生 一 个 二 次 方程 《7 和 8 为 随机 选择 ) : 





Fe) = Ce" + Bw 11) mod 13 
5 个 影子 是 : 


k, = Fl) =7+8+11 = 0(mod 13) 

ks = F(2) = 28+16+11 = 3(mod 13) 
ks = FBI 63+ 24+ 11 = 7(mod 13) 
kı = F(4) = 112 + 32 +11 = 12(mod 13) 
ks = FOS) = 175 + 40 + 11 = 5(mod 13) 





为 了 从 3 个 影子 〈 比 如 ks 、ks Mks) 重 构 M， 解 线性 方案 程 组 : 


aX 2?+6xX2+M = 3(mod 13) 
aX 3?+6X3+M =7(mod 13) 
aX5?+6X*5+M = 5(mod 13) 


解 为 a=7、6=8 和 M=11， 这 样 就 恢复 了 ML。 








这 个 共享 方案 对 于 较 大 的 数 也 容易 实现 。 如 有 果 打 算 把 消息 分 成 30 个 
相等 的 部 分 ， 使 得 任意 6 个 人 在 一 起 都 能 重 构 消息 ， 则 给 这 30 个 人 每 人 
一 个 六 次 多 项 式 : 

F(x) = (ax' 二 br 十 cx“ 十 dx’ 十 ex: 十 fr 十 M) mod p 


对 6 个 未 知 数 〈 包 括 M) 6 个 人 才能 解 ，5 个 人 束 不 可 能 得 到 有 关 M 
的 任何 东西 。 





秘密 共享 最 司 人 的 方面 是 ， 如 打 系 数 随 机 地 选择 ， 即 使 征 有 无 限 计 
算 能 力 的 5 个 人 也 不 能 得 到 除 消息 长 度 外 的 任何 东西 〈 消 息 长 度 每 个 人 
都 知道 ) 。 这 个 方案 像 一 次 一 密 乱 码 本 一 样 安 全 ， 任 何 想 揭示 消息 的 穷 
举 搜索 ( 即 试验 所 有 可 能 的 第 6 个 影子 的 企图 都 可 能 是 无 效 的 。 本 市 
所 介绍 的 所 有 秘密 共享 方案 部 如 此 。 








23.2.2 ”矢量 方案 


George Blaldey 发 明了 利用 空间 中 点 的 方案 [1824 。 消 息 定义 为 m 
维 空间 中 的 一 个 点 ， 每 一 个 影子 都 是 包含 这 个 点 的 (m-1) 维 超 平面 的 
方程 ， 任 意 m 个 这 种 超 平面 的 交点 刚好 确定 这 个 点 。 











例如 ， 如 果 需 要 3 个 影子 来 重 构 消 忠 ， 那 么 此 消息 就 是 三 维 空间 中 
的 一 个 点 ， 每 一 个 影子 都 是 一 个 不 同 的 平面 。 如 果 有 1 个 影子 ， 则 仅 知 
道 点 在 该 平面 上 的 共处， 如 果 有 2 个 影子 ， 则 可 知道 点 在 两 个 平面 区 线 

















上 某 处 ， 如 果 有 3 个 影子 ， 则 刚好 能 确定 点 在 三 个 平面 的 区 点 。 


23.2.3 Asmuth-Bloom 


这 种 方案 使 用 素数 [65」 。 对 一 个 Gm, n) 门限 方案 ， 选 择 一 个 大 
于 M 的 大 素数 p， 然 后 选择 n 个 小 于 p 的 数 di do, ，.…，dh ， 使 得 : 


(1) di 的 值 按 递增 顺序 排列 ， 即 di <di,1 。 
(2) di AW AR. 

C3) dy Xd Md sds “is Say 
分 配 影子 时 ， 首 先 选择 一 个 随机 数 r， 计 算 


M'=M+rp 


ki =M'mod di 





利用 中 国 剩余 定理 ， 由 任意 mm 个 影子 就 能 恢复 M， 任 意 m-1 个 影子 
却 不 能 ， 详 细 情 况 见 文献 L65] 。 


23.2.4 Kamin-Greene-Hellman 


这 个 方案 使 用 了 和 矩阵 乘法 [818」 。 选 择 n+1 个 下 维 向 量 V, ，Vi ， 
V，，...，V，， 使 得 由 它们 形成 的 任意 可 能 mxm 阶 矩阵 的 秩 为 m。 癌 量 
U 是 (m+1) 维 的 行 向 量 。 


M 是 矩阵 乘积 U+:Vo ， 影 子 是 乘积 U`Vi (1<i<n) 。 


任何 m 个 影子 能 用 来 解 mxm 的 线性 方程 组 ， 其 中 未 知 数 是 U 的 系 
数 。 知 道 了 JU， 就 能 够 计算 U'Vi 。 任 意 m-1 个 影子 不 能 解 这 个 线性 方程 
组 ， 因 此 不 能 恢复 这 个 秘密 。 


23.2.5 ”高 级 门限 方案 





前 面 的 例子 仅 解释 了 最 简单 的 门限 方案 ;把 一 个 秘密 分 成 n 个 影 
子 ， 使 得 使 用 其 中 任意 m 个 影子 就 能 恢复 这 个 秘密 。 这 些 算法 能 用 来 构 
造 更 复杂 的 方案 。 下 面 的 例子 将 使 用 Shamir 算 法 ， 也 可 使 用 前 面 算 法 中 
jae lead ae 








构造 方案 时 ， 如 果 其 中 一 个 人 比 其 他 人 更 重要 ， 束 给 那个 人 更 多 的 
影子 。 比 如 说 ， 如 果 需 要 5 个 影子 才能 重建 一 个 秘密 ， 其 中 一 个 人 有 3 个 
不 同 的 影子 而 其 他 人 仅 有 1 个 ， 那 么 这 个 人 和 另外 两 个 人 融 能 恢复 秘 
密 ， 没 有 这 个 人 ， 则 需要 5 个 人 才能 恢复 秘密 。 











两 个 或 更 多 人 能 得 到 多 个 影子 ， 每 个 人 都 能 拥有 不 同 数目 的 影 











不 论 影 子 按 何 种 方式 分 布 ， 使 用 其 中 任意 mm 个 影子 都 能 重 构 这 个 秘密 。 
如 果 仅 有 m-1 个 影子 ， 那 么 无 论 是 属于 一 个 人 还 是 全 房间 的 人 者 不 能 
构 这 个 秘密 。 








在 其 他 类 型 的 方案 中 ， 设 想 有 两 个 敌对 代表 团 。 也 可 在 这 两 个 代表 
团 间 共享 秘密 ， 使 得 来 目 7 人 代表 团 A 中 的 2 个 人 和 来 和 目 12 人 代表 团 B 中 
的 3 个 人 一 起 才能 恢复 秘密 。 构 造 一 个 三 次 多 项 式 ， 它 是 一 个 线性 方程 
和 一 个 二 次 方程 的 乘积 ， 给 代表 团 A 中 每 人 1 个 影子 ， 这 个 影子 是 线性 
方程 的 值 ， 给 代表 团 B 中 每 人 1 个 影子 ， 这 个 影子 是 二 次 方程 的 值 。 




















代表 团 A 中 任意 2 个 影子 能 用 来 重 构 线 性 方程 ， 但 不 管 它 有 多 少 其 
他 的 影子 ， 都 不 能 得 到 有 关 秘 密 的 任何 信息 。 对 代表 团 B 也 如 此 : 他 们 
只 需要 3 个 影子 就 可 重 构 二 次 方程 ， 但 不 能 获得 为 重 构 秘密 所 需 的 更 多 
言 轧 。 仅 当 两 个 代表 团 共 孕 他们 的 方程 时 ， 才 能 将 两 个 方程 相 乘 用 于 重 
构 秘密 。 








总 之 ， 任 何 能 想象 得 到 的 共享 方案 都 能 够 实现 ， 所 要 做 的 只 是 设想 
一 个 与 特定 方案 相对 应 的 方程 组 。 文 献 [1462、1463、1464」 是 阐述 秘 
密 共享 方案 的 一 些 好 文章 。 





23.2.6 ”有 骗子 情况 下 的 秘密 共享 


该 算法 为 检测 骗子 改进 了 标准 的 《m，n) 门限 方案 “15294 。 虽 然 


但 以 下 只 使 用 LaGrange 方 案 予 以 说 明 。 
选择 一 个 素数 p， 它 比 n 和 


(s-1) (m-1) /e+m 





大 ， 其 中 s 是 最 大 可 能 的 秘密 ，e 是 成 功 欺 骗 的 概率 。 可 以 使 与 你 
锅 望 的 一 样 小 ， 这 使 计算 更 为 复杂 。 像 前 面 一 样 构 造影 子 ， 但 x; 取 1， 
2，...，n， 而 使 用 1~p-1 之 间 的 随机 数 。 





现在 ，Mallory 市 着 他 的 假 共 孚 秘密 潜入 秘密 重 构 会 议 ， 他 的 共有 
秘密 不 是 可 能 秘密 的 概率 很 高 ， 当 然 ， 一 个 不 可 能 秘密 就 是 伪造 的 秘 
密 ， 有 关 数 学 问题 见 文献 [1529] 。 





不 笠 的 是 ， 虽 然 Mallory 作 为 骗子 被 骏 露 了 ， 但 仍然 得 到 了 秘密 
(假设 有 m 个 其 他 有 效 的 共享 秘密 〉 。 文 献 [1529、975] 中 的 另 一 个 
协议 能 防止 这 种 情况 发 生 。 基 本 思想 是 创建 一 系列 的 k 个 秘密 ， 使 参与 
者 中 任何 人 都 不 能 事先 知道 哪 一 个 是 正确 的 秘密 。 除 了 真正 的 秘密 外 ， 
每 一 个 秘密 都 比 前 一 个 秘密 大 ， 参 与 者 组 合 他 们 的 影子 产生 一 个 又 一 个 
的 秘密 ， 直 到 他 们 能 产生 一 个 比 前 面 的 秘密 小 的 秘密 ， 这 就 是 一 个 正确 
的 秘密 。 




















该 方案 能 在 秘密 产生 前 尽早 其 露 驴 子 。 参 与 者 每 次 交付 一 个 影子 的 


RZ 


过 程 有 些 繁杂 ， 详 情 参 见 那 两 篇 论文 。 在 门限 方案 中 检测 和 防止 骗子 的 
其 他 文章 可 见 文献 L355, 114, 270] 。 


23.3 A Pfeil 
23.3.1 Ong-Schnorr-Shamir 


Gustavus Simmons [1458 1459. 1460] HtA RSI (4.2 
节 ) 使 用 了 Ong-Schnorr-Shamir 识 别 方案 《参见 20.5 节 ) 。 和 原 方案 中 相 
同 的 是 : RZE Alice) 选择 一 个 公开 的 模 数 n 和 一 个 秘密 密 铀 k， 使 得 
n 与 kK 互 素 。 和 原 方案 不 相同 的 是 : k 是 在 Alice 和 闵 下 消息 接收 者 Bob 之 


BRFK 











计算 公开 密 铀 ; 


h =— k’? mod n 











如 果 Alice 打 算 通 过 无 害 消 息 M' 来 发 送 国 下 消息 M， 那 么 她 首先 需 确 
认 M' 和 n 互 素 ， M 和 mn 互 素 。 


Alice 计 算 ; 


S 一 1/2XCM LILM 十 M) mod n 
S,= k/2 X (M'/M — M) mod n 


将 数 对 $; AIS, 合 在 一 起 就 是 传统 的 Ong-Schnorr-Shamir 方 案 的 签 
名 ， 而 且 是 阔 下 消息 的 载体 。 


像 Ong-Schnorr-Shamir 签 名 方案 所 描述 的 那样 ， 监 狱 看 守 人 
Walter( 记 得 他 吗 ?) 能 够 鉴别 消息 ， 但 Bob 做 得 更 好 。Bob 能 鉴别 消息 
CWalter 总 是 能 够 产生 他 上 自己 的 消息 ) ， 还 能 进一步 确认 : 
/ 
Si — S3/k* =M (mod n) 
RIM SEAT SEY, Pe HE ED PR ASK i PBS: 
/ = 
M=M/(S, 十 SR ) mod n 
这 是 可 行 的 ， 但 要 记 住 基本 的 Ong-Schnorr-Shamir 方 案 已 经 被 破译 
Ia 
23.3.2 ElGamal 
在 文献 [1407、1473] HHA Simmons — YR Sie [1459」 基 
于 ElGamal 签 名 方案 (参见 19.6 季 )。 


密 钥 产生 与 基本 的 ELGamal 签 名 方案 相同 。 痢 先 选择 一 个 素数 p， 两 
个 随机 数 g 和 r，g 和 r 都 小 于 p。 然 后 计算 : 


K=g' mod p 


公开 密 钥 是 K、g 和 p， 私 人 密 钥 是 r。 除 Alice 外 ，Bob 也 知道 r， 这 
AN BE AFAR ACI AD BSED PUB, Da SMA RAE BCA o 





使 用 无 害 消 息 M' 来 发 送 阔 下 消息 M 时 ，M'、M 和 p 都 必须 相互 完全 
互 素 ， 同 时 M 和 p-1 也 必须 互 素 。Alice 计 算 : 


K=gM (mod p) 
并 对 Y 解 下 列 方程 《使 用 扩展 的 欧 几 里 得 算法 ) 
M'=rX+MY mod (p-1) 
和 基本 的 ElGamal 方 案 一 样 ， 签 名 是 数 对 X 和 y。 
Walter 能 验证 ElGamal 签 名 ， 他 确认 : 
KX XY =gM (mod p) 
Bobe KRR MKE H BMN: 
CHES Ce OD 


WR ETA Se A ke, ACSI AE SE SAN OAR 
Walter) 。 


其 次 ， 恢 复 M 时 ， 他 计算 
M= (CY?! (M'-rX) ) mod (p-1) 


例如 ， 设 p=11 和 8g=2， 秘 密 密 钥 r 选 为 8， 这 意味 着 Walter 能 用 来 验证 
签名 的 公开 密 钥 是 gr mod p=28 mod 11=3。 


使 用 无 害 消息 M'=5 来 发 送 国 下 消息 M=9 时 ，Alice 确 认 9 和 11 互 素 ， 
同时 5 和 11 互 素 ， 她 还 证 实 9 和 11-1=10 也 互 素 。 因 此 Alice 计 算 : 


X=g™ mod p=2? mod 11=6 
然后 ， 她 对 Y 解 下 列 方程 : 
5=8x6+9xY mod 10 
得 Y=3， 所 以 签名 是 数 对 X 和 Y: 6 和 3。 
Bob 进 一 步 确认 : 
(g) XXxY=g™M (mod p) 
(28 ) 663=25 (mod 11) 


上 式 是 成 立 的 《如果 不 相信 我 ， 你 可 以 目 己 进 行 数 学 运算 ) ， 所 以 
Bob 就 可 通过 计算 下 式 恢复 国 下 信息 : 





M= (Y (M'-rx) ) mod (p-1) =31 (5-8x6) mod 10=7 (7) 
mod 10=49 mod 10=9 


23.3.3 ESIGN 


闵 下 信道 能 增添 到 ESIGN -1460」 中 (参见 20.6 节 )。 





在 ESIGN 中 ， 秘 密 密 钥 是 一 对 大 素数 p 和 g， 公 开 密 钥 是 n=p? q. E 
闷 下 信道 情况 下 ， 秘 密 密 钥 是 3 个 素数 p、g 和 r， 公 开 密 钥 是 nn， 是: 


n=p? qr 











Ap Erze Bob ma 22 AK bd EB PIS A fs E 


对 消息 签名 时 ，Alice 首 先 选择 一 个 随机 数 x， 使 得 x 小 于 pqr， 并 计 


w 是 比 (H (m) -xkmodn) /pqr) 大 的 最 小 整数 
s=x+ ( (w/kxk! ) mod p) par 
H (m) 是 消息 的 散 列 函 数 ，k 是 安全 参数 ， 值 s 就 是 签名 。 


验证 该 签名 时 ，Bob 计 算 s mod n， 他 还 计算 a，a 是 比 n 的 位 数 除 以 3 
大 的 最 小 整数 。 如 果 H Cm) 小 于 或 等 于 sk mod n， 且 如 果 sk mod ntk 


H (m) +23 小 ， 那 么 该 签名 被 认为 是 有 效 的 。 











使 用 无 害 消息 M' 来 发 送 闷 下 消息 M 时 ，Alice 用 M 取 代 H (m) 来 计 


算 s。 这 意味 着 该 消息 必须 小 于 p* qr。 然后 她 选择 一 个 随机 数 u， 并 计 
算 : 


x'=M'+ur 


然后 ， 使 用 这 个 x' 值 作为 “随机 数 ”x 来 签署 M'。 第 二 个 s 值 束 作 为 一 


Walter 能 够 验证 (第 二 个 ) 是 M' 的 有 效 签 名 。 


Bob 也 能 用 相同 的 方法 来 鉴别 消息 


但 因为 他 还 知道 r， 所 以 他 能 计 
算 ; 


s=x'+typqr=M+urtypqr=M (mod r) 





国 下 信道 的 这 种 实现 方法 比 前 两 种 好 。 在 Ong-Schnorr-Shamir 和 


ElGamal 实 现 方法 中 ，Bob 拥 有 Alice 的 私人 密 铀 ， 除 了 能 阅读 来 自 Alice 


的 浆 下 消息 外 ，Bob 还 能 假冒 Alice 并 签署 文件 。Alice 对 此 却 无 能 为 力 。 
为 了 建立 这 个 闷 下 信道 ，Alice 必 须 信 任 Bob。 


ESIGN 方 案 则 没有 这 个 问题 ，Alice 的 私人 密 钥 是 3 个 素数 p、g 和 I 的 


集 ，Bob 的 秘密 密 钥 正 是 r， 他 知道 n=p“ dr， 但 要 恢复 p 和 q， 就 必须 分 解 


数 n。 如 果 该 素数 足够 大 ，Bob 要 假冒 Alice， 就 像 walter 或 其 他 任何 人 一 
样 很 难 。 


23.3.4 DSA 


在 DSA 中 也 有 一 个 国 下 信道 (参见 20.1 节 ) [1468、1469、1473 ] R 事 
实 上， 是 有 多 个 。 最 简单 的 闪 下 信道 涉及 选择 。 假 定 它 是 一 个 160 位 的 
随机 数 。 然 而 ， 如 果 Alice 选 择 了 一 个 特定 的 k， 那 么 知道 Alice 私 人 密 铀 
的 Bob 惑 能 够 恢复 它 。Alice 能 在 每 一 个 DSA 签 名 中 发 送 给 Bob 一 个 160 位 
的 阐 下 消息 ， 其 他 任何 人 都 能 简单 地 验证 Alice 的 签名 。 男 外 还 有 一 个 更 
复杂 的 问题 ， 因 为 k 应 当 是 随机 的 ， 所 以 为 了 产生 k，Alice 和 Bob 必 须 共 
享 一 个 一 次 一 密 乱 码 本 ， 并 用 该 一 次 一 密 乱 码 本 来 加 密 阔 下 消息 。 





DSA 还 有 一 些 不 需要 Bob 知 道 Alice 私 人 密 钥 的 阔 下 信道 。 它 们 也 涉 
及 选择 特定 k 值 ， 但 不 能 用 于 发 送 160 位 的 信息 。 在 文献 [1468、1469 ] 
中 提出 的 这 个 方案 允许 Alice 和 Bob 在 每 一 次 签署 的 消息 中 交换 1 位 阔 下 


=e 


Hut o 


(1) Alice 和 Bob 丙 定 一 个 随机 票数 p《〈 不 同 于 签名 方案 中 的 参数 
p) 。 对 该 阀 下 信道 来 说 ， 这 是 他 们 的 秘密 密 钥 。 








(2) Alice 签 普 一 个 无 害 消 轧 M。 如 有 果 她 想 发 送 给 Bob 阀 下 位 1， 她 
确保 签名 的 参数 "是 对 模 p 的 二 次 剩余 。 如 宁 她 想 给 Bob 国 下 位 0， 她 确保 








签名 的 参数 r 是 对 模 P 非 二 次 剩余 。 她 通过 对 带 有 随机 k 值 的 消息 进行 签 
名 直到 她 得 到 一 个 满足 再 要 特性 的 签名 参数 r 来 完成 这 一 工作 。 因 为 二 
次 剩余 和 非 二 次 剩余 大 约 相等 ， 这 样 这 一 步 应 当 不 太 困 难 。 





(3) Alice 发 送 一 个 签名 消息 给 Bob。 


(4) Bob 验证 签名 ， 以 确信 该 消息 是 真实 的 。 然 后 他 检查 r 是 对 模 p 
的 二 次 剩余 还 是 非 二 次 剩余 ， 同 时 恢复 阔 下 位 。 





通过 这 种 使 * 是 模 各 种 参数 的 二 次 剩余 或 非 二 次 剩余 的 方法 可 以 发 
送 多 个 位 ， 详 情 见 文献 L1468, 1469] 。 








该 方案 很 容易 扩展 到 在 每 一 个 签名 中 发 送 多 个 国 下 位 。 如 条 Alice 和 
Bob 共 同 协商 了 两 个 随机 素数 P 和 Q，Alice 通 过 选择 一 个 随机 数 k， 使 得 r 
既是 对 模 P 的 二 次 剩余 或 非 二 次 剩余 ， 又 是 对 模 Q 的 二 次 剩余 或 非 二 次 
剩余 的 方法 ， 就 能 够 发 送 两 位 。 一 个 随机 的 k 值 有 25%% 机 会 产生 一 个 正 
确 形 式 的 r。 


下 面 便 是 Mallory，DSA 的 一 个 不 择 手段 的 实现 者 ， 如 何 使 Alice 每 
签署 一 个 文件 ， 就 泄露 她 10 位 私人 密 钥 的 算法 : 


(1) Mallory 用 一 个 防 拆 的 VLSI 蕊 片 实现 DSA， 使 得 没有 人 能 检查 
这 个 蕊 片 内 部 工作 状况 。 他 在 这 个 芯片 中 建立 了 一 个 14 位 的 阔 下 信道 。 
也 就 是 说 ， 他 选择 14 个 随机 素数 ， 而 且 该 芯片 可 以 根据 阔 下 消息 ， 选 择 








个 k 值 使 得 r 对 那 14 个 素数 中 的 每 一 个 而 言 都 是 二 次 剩余 或 非 二 次 剩 
余 。 


(2) Mallory 将 这 种 心 片 分 发 给 Alice、Bob 以 及 想 要 的 任何 人 。 


(3) Alice 用 她 的 160 位 私人 密 钥 x， 像 通常 一 样 签署 消息 。 





(4) 蕊 片 随机 地 选择 x 的 10 位 分 组 ， 第 一 个 10 位 、 第 二 个 10 位 ...... 
因为 总 共有 16 个 可 能 的 10 位 分 组 ， 所 以 用 4 位 数 就 可 标识 这 些 分 组 。 访 4 
位 标识 符 加 上 10 位 密 钥 ， 就 是 14 位 的 阀 下 消息 。 





(5) 蕊 片 对 随机 的 k 值 进行 测试 ， 直 到 找到 一 个 对 于 要 发 送 的 闵 下 
消息 具有 正确 的 二 次 剩余 特性 的 k。 一 个 随机 的 k 具 有 正确 的 二 次 剩余 特 
性 的 可 能 性 是 1 / 16384。 假 设 该 必 片 每 秒 钟 测试 1 万 个 kg， 那 么 不 到 2 秒 
就 能 找到 一 个 。 这 种 计算 不 涉及 消息 ， 因 此 可 在 Alice 签 署 消息 前 脱 机 完 
成 。 


(6) 心 片 使 用 第 (5) 步 中 选 定 的 k 值 ， 像 通常 那样 签署 该 消息 。 


(7) Alice 将 该 数字 签名 发 送 给 Bob， 或 者 在 网 络 上 或 其 他 什么 地 
方 公布 。 





(8) Mallory 恢 复 r， 而 且 因 为 他 知道 那 14 个 素数 ， 所 以 就 可 解密 浆 
下 消息 。 


可 怕 的 是 ， 即 使 Alice 知 道 正 在 发 生 的 一 切 ， 也 无 法 证 明 这 一 事实 。 
只 要 这 14 个 素数 继续 保持 秘密 ，Mallory 仍 将 安然 无 羡 。 


23.3.5 ”挫败 DSA 阔 下 信道 


闹 下 信道 依赖 于 Alice 能 选择 k 来 传送 网 下 信息 这 一 事实 。 为 了 挫败 
准 下 信道 ， 就 不 能 允许 Alice 选 择 k， 并 且 其 他 任何 人 也 都 不 能 。 因 为 如 
果 人 允许 其 他 东 个 人 选择 k， 那 么 就 等 于 允许 那个 人 伪造 Alice 的 签名 。 唯 
一 的 解决 办 法 就 是 : Alice 和 另 一 方 〈 称 为 Bob) 共同 产生 k。 在 这 种 产 
生 方 法 中 ，Alice 不 能 控制 k 的 单个 位 ， 而 Bob 不 能 知道 是 k 的 单个 位 。 在 
这 个 协议 的 末尾 ，Bob 应 能 验证 Alice 使 用 过 的 他 们 共同 产生 的 那个 k。 


该 协议 如 下 [1470 1472, 1473] , 


(1) Alice 选 择 k"， 并 发 送 给 Bob: 


— k’ 
u = g" mod p 
(2) Bob 选 择 k"， 并 将 k" 发 送 给 Alice。 


(3) Alice 计 算 k 二 ”mod (p 一 1) ， 她 用 DSA 签 署 消 息 M， 并 
把 她 的 签名 r 和 s 发 送 给 Bob。 


(4) Bob 验 证 : 


(( mod p) mod q) 
如 果 上 式 成 立 ，Bob 就 知道 k 被 用 于 签署 M。 


fE (4) 步 之 后 ，Bob 知 道 没 有 任何 闵 下 信息 能 舱 入 r 中 。 如 果 他 
是 一 个 可 信 方 ， 他 就 能 证 明 Alice 的 签名 是 无 浆 下 信道 的 。 其 他 人 必须 相 
信和 他 的 证 明 。 对 于 拥有 该 协议 副本 的 第 三 方 ，Bob 却 不 能 证 明 这 个 事 


一 个 意 想不到 的 结果 是 ， 如 果 Bob 想 要 做 的 话 ， 他 能 够 使 用 该 协议 
建立 他 自己 的 阀 下 信道 。 通 过 选择 具有 一 定 特征 的 k"，Bob 就 能 把 阔 下 
消息 嵌入 Alice 的 一 个 签名 中 。 当 Sim mons 发 现 这 个 问题 时 ， 他 把 它 叫 
做 “布谷 鸟 信道 "”。 有 关 “ 布 谷 鸟 信道 ”怎样 工作 的 详细 情况 ， 以 及 为 防 
止 “布谷 鸟 信道 ”而 提出 的 产生 k 的 一 种 3 趟 协议 见 文献 [1471、1473] 。 














23.3.6 其 他 方案 





任何 签名 方案 都 能 转换 成 阀 下 信道 11458 1460, 1406] 。 在 Fiat- 
Shamir 和 Feige-Fiat-Shamir 协 议 中 葵 入 闪 下 信道 的 协议 以 及 对 这 个 国 下 
信道 的 可 能 小 用 见 文献 [485」。 


23.4 不 可 抵赖 的 数字 签名 


David Chaum 提 出 了 这 个 不 可 抵赖 的 数字 签名 算法 (参见 4.3 市 ) 
[343、327] 。 首 先 ， 公 开 一 个 大 素数 p 和 一 个 本 原 元 g， 它 们 可 由 一 组 签 
名 者 使 用 。Alice 有 一 个 私人 密 钥 x 和 一 个 公开 和 密 钥 gx mod p- 


对 消息 签名 时 ，Alice 计 算 z=xx mod p， 这 就 是 Alice 必 须 完成 的 全 部 
Tir. 


验证 稍微 复杂 一 
(1) Bob 选择 两 个 小 于 p 的 随机 数 a 和 b， 并 发 送 给 Alice: 
c=za (g* ) pmodp 
(2) Alice 计 算 t=x-1 mod (p-1) ， 并 发 送 给 Bob: 
d=c' mod p 
(3) Bob 进一步 确认 : 
d=m’ gh (modp) 


如 果 此 式 成 立 ，Bob 就 认为 该 签名 是 真 的 。 


设想 Alice 和 Bob 都 履行 该 协议 ， 并 且 Bob 相 信 Alice 签 普 了 消 妃 。 
Bob 打 算 使 Carol 也 相信 ， 因 此 他 把 协议 的 一 个 副本 给 Carol 看 。 然 而 ， 
Dave 打 算 使 Carol 相 信 征 其 他 人 签署 了 该 文件 。 他 伪造 了 该 协议 的 一 个 
副本 。 首 先 他 产生 第 《〈1) 步 中 的 消 奶 ， 然 后 他 先 做 第 3) 步 中 的 计 
Gil, 产生 d， 下 编制 第 (2) 步 的 虚假 传送 ， 称 这 个 d 是 从 其 他 人 传送 来 
的 ， 最 后 他 制造 第 〈2) 步 中 的 消息 。 对 Carol 来 说 ，Bob 和 Dave 两 个 人 
的 副本 是 相同 的 ， 她 还 不 能 相信 签名 的 有 效 性 ， 除 非 她 自己 亲自 履行 这 
个 协议 。 





当然 ， 如 果 当 Bob 完 成 该 协议 时 ，Carol 曾 注视 Bob 的 行为 ， 那 么 就 
应 当 相 信 Carol。 她 必须 看 到 如 Bob 所 做 的 那样 的 ， 按 次 序 做 的 那些 步 





该 签名 方案 可 能 存在 一 个 问题 ， 但 是 我 不 知道 具体 细节 ， 在 使 用 该 
采 之 前 请 注意 这 方面 的 文献 。 
另 一 个 协议 不 仅 有 一 个 确认 协议 《通过 它 Alice 能 够 使 Bob 相 信 她 的 


签名 是 有 效 的 ) ， 而 且 还 有 一 个 否定 协议 。 在 这 个 协议 中 ， 如 果 不 是 
Alice 的 签名 ， 她 可 用 零 知 识 交互 协议 使 他 深信 ， 签 名 是 无 效 的 [329] 








像 前 面 的 协议 一 样 ， 一 组 签名 者 共用 一 个 公开 的 大 素数 p 和 一 个 本 
原 元 g。Alice 有 一 个 唯一 的 私人 密 钥 x 和 一 个 公开 密 钥 gx mod po SAA 


轧 时 ，Alice 计 算 z=mx mod po 
验证 一 个 签名 时 : 
(1) Bob 选 择 两 个 比 p 小 的 随机 数 a 和 b， 并 且 发 送 给 Alice: 
c=magb mod p 
(2) Alice 选 择 一 个 比 p 小 的 随机 数 q， 计 算 并 发 送 给 Bob: 
s;=cgimodp, s= (cgd) *modp 


(3) Bob 把 a 和 Pb 发 送 给 Alice， 使 得 Alice 能 进一步 确认 Bob 没 有 在 第 
C1) 步 中 欺骗 她 。 


(4) Alice 把 q 发 送 给 Bob， 使 得 Bob 能 利用 mx 且 重 新 构造 s; Ms ， 
如 采 


s1 =cg1 (mod p) 


Sy = (g* ) pqza (mod p) 


Alicet #642 3 72 XE Simi 8454 z, Veta LCRA [329] 。 


不 可 抵赖 签名 的 其 他 协议 可 在 文献 [584、344] 中 找到 。Lein Ham 


和 Shoubao Yang 提 出 了 一 个 不 可 抵赖 的 组 签名 方案 “7004 。 


可 转换 的 不 可 抵赖 签名 


文献 L213」 中 给 出 了 一 个 可 转换 的 不 可 抵赖 签名 Cconvertible 
undeniable signature) 的 算法 ， 该 算法 能 验证 及 人 否定 签名 ， 同 时 也 能 将 
签名 转换 成 常规 的 数字 签名 。 该 算法 基于 ElGamal 数 字 签 名 算法 。 


像 ElGamal 算 法 一 样 ， 首 先 选 择 两 个 素数 p 和 qdq， 使 得 q 能 整除 p-1。 
此 时 必须 产生 一 个 小 于 q 的 数 g。 首 先 选 择 一 个 在 2 一 p-1 之 间 的 随机 数 
h， 计 算 : 


g=h ‘P-1) /4 mod p 





如 果 g 等 于 1， 则 选择 力 一 个 随机 数 h， 如 果 g 不 等 于 1， 则 保留 这 个 


私人 密 钥 是 两 个 小 于 q 的 不 同 的 随机 数 x 和 z， 公 开 密 钥 是 p，g，y 和 


U， 其 中 
y=g* mod p 
u=g* mod p 


TSE Smit) A Pe PR AS a RE A CSE eA BO 


时 ， 首 先 选 择 一 个 1 一 q-1 之 间 的 随机 数 ， 然 后 计算 : 
T=g' mod p 
和 
m'=Ttzm mod q 


现在 计算 m' 的 标准 ElGamal 签 名 。 选 择 一 个 随机 数 R， 使 得 R 小 于 
(p-1) H5 (p-1) 互 素 。 然 后 计算 r=gRmodp， 并 使 用 扩展 欧 几 里 得 
算法 计算 s， 使 得 : 


m'=rx+Rs (mod q) 
此 签名 是 ElGamal 签 名 (r, s) MT. 
以 下 是 Alice 向 Bob 验 证 她 的 签名 的 过 程 : 


(1) Bob 产 生 两 个 随机 数 a 和 b， 计 算 c=TIma gb mod p， 同 时 把 它 发 
送 给 Alice。 


(2) Alice 产 生 一 个 随机 数 k， 并 计算 h =cgk mod p 和 h, =h; 2 mod 
p， 同 时 把 这 两 个 数 发 送 给 Bob。 


(3) Bob 把 a 和 hb 发 送 给 Alice。 


(4) Alice 验 证 c=Tima gb mod p， 她 把 k 发 送 给 Bob。 


(5) Bob 验 证 hi; =TIma gbtk mod p 和 h, =yrarsaubrk mod p. 


Alice 通 过 公布 z， 能 把 她 所 有 不 可 抵赖 签名 转换 成 常规 的 签名 。 现 
在 即使 没有 Alice 的 帮助 ， 任 何人 都 能 验证 她 的 签名 。 


不 可 抵赖 签名 方案 能 够 和 秘密 共享 方案 组 合 在 一 起 产生 分 布 式 可 转 
换 的 不 可 抵赖 签名 “2354 。 某 人 先 签署 一 个 消息 ， 然 后 将 确认 签名 有 
效 的 能 力 分 散 。 为 了 使 Bob 相 信 签 名 是 有 效 的 ， 他 们 可 能 需要 ， 例 如 5 个 
人 中 的 3 个 人 参与 这 个 协议 。 对 这 种 概念 的 改进 取消 了 对 可 信和 方 的 要 求 


L700. 1369 ] 本 


23.5 THEM ae ZB 


下 面 叙 述 了 Alice 怎 样 签署 消息 ， 而 Bob 又 怎样 验证 消息 ， 才 能 使 得 
Carol 在 以 后 某 个 时 刻 向 Dave 验 证 Alice 的 签名 (参见 4.4 节 ) [333] 。 





首先 ， 公 开 一 个 大 系数 p 和 一 个 本 原 元 素 g，p 和 g 由 一 组 用 户 公 用 ， 
两 个 素数 的 积 n 也 是 公开 的 。Carol 拥 有 一 个 私人 密 钥 z 和 一 个 公开 密 钥 
h=g* mod po 


FAW, Alicek 2h Em, (4¢Bob iii ts US tak 
的 ， 但 是 不 能 使 第 三 方 确 信 。 





(1) Alice 选 择 一 个 随机 数 x， 并 计算 : 
a=g* mod p 
b=h* mod p 


她 计算 m 的 散 列 值 H (m〉， 以 及 a 和 b 连 接 的 散 列 值 H (a, b) 。 然 
后 计算 : 


j= (H (m) H (a, b) ) 3 modn 


并 将 a、b 和 j 发 送 给 Bob。 


(2) Bob 选 择 两 个 小 于 p 的 随机 数 s 和 t， 并 发 送 给 Alice: 
c=gs ht mod p 

(3) Alice 选 择 一 个 小 于 p 的 随机 数 g， 并 发 送 给 Bob: 
d=g4 mod p 

e= (cd) *modp 

(4) Bob 把 s 和 t 发 送 给 Alice。 

(5) Alice 确 认 : 

gs ht=c (mod p) 

然后 将 q 发 送 给 Bob。 

(6) Bob 确 认 : 

d=g4 (modp) 

e/ad =as b' (mod p) 

H (m) ©H (a, b) =j! modn 


如 果 Alice 和 Bob 全 都 验算 完毕 ，Bob 就 认为 这 个 签名 是 真实 的 。 


Bob 不 能 使 用 这 个 证 明 的 副本 使 Dave 相 信 这 个 签名 是 真实 的 ， 但 是 
Dave 能 够 和 Aljlice 指 定 的 确认 者 Carol 一 起 构造 一 个 协议 。 下 面 叙 述 了 
Carol 怎 样 使 Dave 相 信 a 和 b 构 成 一 个 有 效 签名 。 


(1) Dave 选 择 两 个 小 于 p 的 随机 数 u 和 v， 并 发 送 给 Carol: 
k=g a“ mod p 

(2) Carol 选 择 一 个 小 于 p 的 随机 数 w， 并 发 送 给 Dave: 
1]=g mod p 
y= (kl) 7 mod p 

(3) Dave 将 u 和 v 发 送 给 Carol。 

(4) Carol 确 认 : 
g" av =k (mod p) 
然后 将 w 发 送 给 Dave。 

(5) Dave 确认 : 
gw =] (mod p) 


y/hY =h" bY (mod p) 


如 果 Carol 和 Dave 全 都 验算 完毕 ，Dave 束 认为 这 个 签名 是 真实 的 。 


在 力 一 个 协议 中 ，Carol 能 将 指定 的 确认 者 协议 转换 成 一 个 传统 的 
数字 签名 。 详 情 见 文献 [333] - 


23.6 ”用 加 密 数 据 计算 


离散 对 数 问 题 


有 一 个 大 素数 p 和 一 个 产生 元 g，Alice 有 一 个 特定 的 x 值 ， 想 知道 e， 


g€ =x (mod p) 


这 是 一 个 难题 ， 且 Alice 缺 少 计算 它 的 能 力 ， 而 Bob 拥 有 解决 这 个 问 
题 的 计算 能 他 代表 政府 或 大 的 计算 机 构 或 诸如 此 类 。 下 面 是 在 
Alice 不 泄漏 x 的 情况 下 ，Bob 的 计算 过 程 (947) 41 : 





(1) Alice 选 择 一 个 小 于 p 的 随机 数 r。 
(2) Alice 计 算 : 

x'=xg" mod p 
(3) Alice 要 求 Bob 解 : 

ge =x’ (mod p) 


(4) Bob 计 算 e， 同 时 将 它 发 送 给 Alice。 


(5) Alice 通 过 计算 e= (e'-r) mod (p-1) 来 恢复 e。 


对 二 次 剩余 问题 和 本 原 根 问题 的 类 似 协议 见 [3 外 ， 也 可 参见 4.8 


Ta 


23.7 ”公平 的 人 硬币 抛掷 


下 列 协 议 多 许 Alice 和 Bob 在 一 个 数据 网 络 上 抛掷 公平 的 硬币 《参见 
4.9 节 ) [194」 。 这 是 一 个 抛 币 入 井 的 例子 〈 参 见 4.10 节 ) 。 开 始 只 有 
Bob 知 道 硬 币 抛掷 的 结果 ， 并 且 由 他 把 结果 告诉 Alice。 后 来 ，Alice 可 以 
进行 检验 以 确信 Bob 告 诉 她 抛掷 的 结果 是 否 正确 。 


23.7.1 利用 平方 根 的 硬币 抛 所 


人 硬币 抛掷 子 协 议 如 下 : 

(1) Alice 选 择 两 个 大 素数 p 和 qdq， 并 把 它们 的 乘积 n 发 送 给 Bob。 
(2) Bob 选 择 一 个 随机 的 正 整数 r， 使 ?小 于 n/2。Bob 计 算 : 
z=r? mod n 

并 把 z 及 送 给 Alice。 


(3) Alice 计 算 z (modn) 的 4 个 平方 根 。 她 能 够 计算 ， 因 为 她 知道 
n 的 因子 分 解 。 我 们 把 这 4 个 根 称 为 +x、-x、+y、-y。 设 x' 是 下 面 两 个 数 
中 较 小 的 一 个 : 


x modn 或 -x mod n 


类 似 地 ， 设 y 是 下 面 两 个 数 中 较 小 的 一 个 : 


y mod n 或 -y mod n 





wait Mrs x My’. 
(4) Alice 猪 测 r= 二 x'"， 或 者 r=y ， 并 将 其 猜测 发 送 给 Bob。 


(5) 如 有 果 Alice 的 猜测 是 正确 的 ， 硬 币 抛 扼 的 结果 是 正面 ， 如 采 
Alice 的 猜测 不 正确 ， 人 硬币 抛 扼 的 结果 是 反面 。Bob 宣 布 硬 币 抛掷 的 结 
Ro 


验证 子 协议 如 下 : 

(6) Alice 将 p 和 gq 发 送 给 Bob。 

(7) Bob 计 算 x 和 y'"， 并 将 它们 发 送 给 Alice。 
(8) Alice 计 算 r。 


Alice 不 知道 [， 所 以 她 的 猜测 是 真实 的 。 她 仪 在 第 (4) 步 中 告诉 
Bob 她 猜测 的 1 位 ， 这 样 可 防止 Bob 获 得 xx 和。 如 采 Bob 有 这 两 个 数 ， 他 


就 能 在 第 (4) 步 后 改变 r。 


23.7.2 ”利用 模 p 指 数 运算 的 便 币 抛掷 


模 素数 p 的 指数 运算 被 用 作 该 协议 中 的 单 向 函数 -1306] 。 
人 硬币 抛掷 子 协议 如 下 : 


(1) Alice 选 择 一 个 素数 p，“【〔p-1) 的 因子 分 解 已 知 且 至 少 含 有 一 
个 大 的 素数 因子 。 


(2) Bob 选择 GF (p) 中 的 两 个 本 原 元 h 和 t， 并 将 它们 发 送 给 
Alice. 


(3) Alice 检 验 h 和 t 是 否 本 原 ， 选 择 一 个 和 Cp-1) 互 素 的 随机 整数 
x， 然 后 计算 下 列 两 个 值 中 的 一 个 : 


y=h* mod p 或 y=t* mod p 
并 将 y 发 送 给 Bob。 


(4) Bob 猜 测 Alice 是 将 y 作 为 ha 还 是 t 的 一 个 函数 计算 的 ， 并 将 他 的 
青 测 发 送 给 Alice。 


(5) 如 果 Bob 的 猜测 是 正确 的 ， 那 么 硬币 抛掷 的 结果 是 正面 ， 如果 
Bob 的 猜测 不 正确 ， 那 么 硬币 抛 扼 的 结果 是 背面 。Alice 宣 布 硬币 抛掷 的 
结果 。 


验证 子 协议 如 下 : 


(6) Alice 把 x 泄露 给 Bob，Bob 计 算 hXx (modp) 或 K (modp) ， 
使 得 他 既 能 确认 Alice 是 否 公 正 地 进行 硬币 抛 气 ， 又 能 确认 抛 据 的 结果 。 
他 还 能 检验 x 和 (p-1) EAR. 


如 果 Alice 想 欺骗 ， 她 必须 知道 满足 X= (mod p) 的 两 个 整数 x 和 和 
x'。 如 果 她 知道 这 些 值 ， 她 就 能 计算 : 


log, h=x'x! mod p-1#lllog, h=x"! x'mod p-1 
这 些 都 是 难题 。 


如 果 Alice 知 道 了 log,h， 她 应 能 计算 ， 但 在 第 〈2) 步 中 Bob 选 择 了 h 
和 t。Alice 除 了 计算 离散 对 数 外 没有 其 他 方法 。Alice 也 可 能 通过 选择 一 
个 与 p-1 不 互 素 的 x 来 其 旷 Bob， 但 Bob 在 第 〈6) 步 中 能 检测 出 来 。 


若 Bob 选 择 的 h 和 t 不 是 GF Cp) 中 的 两 个 本 原 元 ， 他 就 能 欺骗 
Alice， 但 Alice 在 第 (2) 步 后 就 能 很 容易 地 检验 出 来 ， 因 为 她 知道 p-1 的 
AAT. 


这 个 协议 有 一 个 优点 ， 如 有 果 Alice 和 Bob 打 算 抛掷 多 个 硬币 ， 他 们 可 
使 用 相同 的 p、h 和 t。Alice 每 产生 一 个 新 的 x， 协 议 便 从 第 〈3) 步 继 续 
FAs 


23.7.3 利用 Blum 整 数 的 硬币 抛掷 


Blum 整 数 能 使 用 在 硬币 抛掷 协议 中 : 


(1) Alice 产 生 一 个 Blum 整 数 n 和 一 个 与 n 互 素 的 随机 数 X，X。 =x? 
_ 2 
modn, A%1=Xomod n ， 她 将 na 和 xi; 发 送 给 Bob。 
(2) Bob 猜测 xu 究竟 是 奇数 还 是 偶数 。 
(3) Alice 将 x 发 送 给 Bob。 
(4) Bob 检 验 n 是 否 是 Blum 整 数 〈Alice 必 须 把 n 的 因子 及 这 些 因 子 
互 宗 的 证 明 给 Bob， 或 通过 执行 某 个 零 知 识 协 议 使 他 相信 n 是 一 个 Blum 


整数 )， 并 且 验 证 x =x? modn 和 ZX1 二 Xomod n 。 如 果 所 有 检验 无 
误 ， 同 时 他 的 猜测 是 正确 的 ， 那 么 Bob 取 得 这 次 抛 币 的 成 功 。 





/ 
n 是 一 个 Blum 整 数 很 关键 ， 否 则 Alice 能 找到 一 个 Z0 使 得 
‘ í / 
x omod n=x mod nn 二! ， 其 中 Xz0 也 是 一 个 二 次 剩余 。 如 果 x。 


/ 
是 偶数 而 0 是 奇数 (或 反之 ) ，Alice 就 能 很 容易 地 进行 欺骗 。 


23.8 FATA] ADS 
有 一 种 简单 的 单 向 累加 器 函数 [116] (参见 4.12 节 ) : 
Al(zxi, y)=x} 1imodn 


Bin (Cn 是 两 个 素数 的 乘积 ) 和 xo ZEB SETAE. YAIR, yy. Yo 和 
y3 的 累加 应 是 


(Cx?! mod n)*2 mod n)”: mod n 


该 计算 与 yl » Yo 及 y3 的 顺序 无 关 。 


23.9 ”秘密 的 全 或 无 泄露 


该 协议 允许 多 个 参与 者 (该 协议 至 少 需 要 两 个 参与 者 ) 从 一 个 卖 者 
手中 购买 各 自 的 秘密 (参见 4.13 节 ) H374 175], 





首先 定义 如 下 。 考 虑 两 个 位 串 x 和 y，x 和 y 的 固定 位 索引 (Fixed Bit 


Index, FBI) 是 x 的 第 i 位 等 于 y 的 第 i 位 的 那些 位 。 





例如 : 


x=110101001011 


y=101010000110 





FBI (x, y) ={1, 4, 5, 11} (从 右 到 左 读 这 些 位 ， 最 右 一 位 为 0) 


协议 如 下 。Alice 是 卖 者 ，Bob 和 Carol 是 买 者 。Alice 有 k 个 n 位 的 秘 


: Si Sy» ，.…，Sk 。Bob 想 买 秘密 Su ，Carol 想 买 秘密 S。 。 


ER 


(1) Alice 产 生 一 个 公开 /私人 密 钥 对 ， 并 把 公开 密 钥 告诉 Bob (但 
\ 告 诉 Carol) 。 她 再 产生 另 一 公开 /私人 密 钥 对 ， 并 把 该 公开 密 钥 告诉 
Carol 〈 但 不 告诉 Bob ) 。 


(2) Bob 产 生 k 个 n 位 随机 数 B; ，B,，，...，Bl, ， 并 把 它们 告诉 


Carol。Carol 产 生 k 个 n 位 随机 数 Ci ，C, ，...，Ck ， 并 把 它们 告诉 Bob。 


(3) Bob 用 从 Alice 得 到 的 公开 密 钥 加 密 Ch CEE, Sp 是 他 想 买 的 
秘密 ) ， 他 计算 Ch 和 他 刚 加 密 结 果 的 FBI。 他 把 FBI 发 送 给 Carol。 


Carol 用 从 Alice 得 到 的 公开 密 钥 加 密 B。( 记 住 ，S$. 是 她 想 买 的 秘 
密 ) ， 她 计算 B. 和 她 刚 加 密 结果 的 FBI。 她 把 FBI 发 送 给 Bob。 


(4) Bob 对 n 位 数 B; ，B, ，...，Bj. ， 中 的 每 一 个 ， 凡 是 其 索引 不 
在 他 从 Carol 接 收 到 的 FBI 中 出 现 的 每 一 位 都 用 其 补 代替 ， 他 把 这 个 新 的 
n 位 数 B1，B2，*… ，B% 发 送 给 Alice。 


Carol 对 n 位 数 Ci ，C, o CO 中 的 每 一 个 ， 几 是 其 索引 不 在 她 从 
Bob 处 接收 到 的 FBI 中 出 现 的 每 一 位 都 用 其 补 代 蔡 ， 她 把 这 个 新 的 n 位 数 


a T) SU 
C 1， C3 9 ttt C3 发 送 给 Alice。 


(5) Alice 用 Bob 的 私人 密 铀 解密 所 有 C; ， 得 到 k 个 n 位 数 
Cis Cos =s Ch, phg OC?, (dc1，...，k) ， 并 把 结 
果 发 送 给 Bob。 

Alice 用 Carol 的 私人 密 钥 解密 所 有 刀 ; ， 得 到 k 个 n 位 数 
Bi, Bo, |, Ba, phs: OB, (=-1，...，k) ， 并 将 结 
RRIF Carol. 


(6) Bob 通 过 将 Cu 与 他 从 Alice 接 收 到 的 第 b 个 数 相 寞 或 来 计算 Sb 


Caroli HB, 与 他 从 Alice 接 收 到 的 第 c 个 数 相 异 或 来 计算 Se 。 
该 协议 较 复 杂 ， 下 面 举例 说 明 以 帮助 理解 。 


Alice 有 8 个 12 位 秘密 将 出 售 : S} =1990, S, =471，S3 =3860，S4 
=1487, S.=2235, Sg =3751，Sv =2546 和 Se =4043。Bob 想 买 Sy Carol 


想 买 S, o 


(1) Alice 使 用 RSA 算 法 ， 她 和 Bob 一 起 使 用 的 密 钥 对 是 : 
n=7387，e=5145 和 d=777;， 她 和 Carol 一 起 使 用 的 密 钥 对 是 : n=2747， 
e=1421 和 d=2261。 她 把 各 对 公开 密 钥 分 别 告诉 给 Bob 和 Carol。 


(2) Bob 产 生 8 个 12 位 的 随机 数 : Bl =743，B, =1988，B3 =4001， 
B4 =2942，Bs =3421，Be =2210，B, =2306，Be =222， 并 把 它们 告诉 
Carol; Carol 产 生 8 个 12 位 的 随机 数 : Ci =1708，C, =711，Ca =1969，C4 
=3112，Cs =4014，Ce =2308，Cv =2212 和 Ce =222， 并 把 它们 告诉 Bob。 


(3) Bob 想 买 Sy ， 所 以 他 用 Alice 给 他 的 公开 密 钥 加 密 C， 。 
22125145 mod 7387 =5928 


由 于 


2212=0100010100100 
5928=1011100101000 
所 以 这 两 个 数 的 FBI 是 {0，1，4，5，6}， 他 把 该 FBI 发 送 给 Carol。 


Carol 想 买 5;, ， 所 以 她 用 Alice 给 她 的 公开 密 钥 加 密 B, ， 并 计算 B, 和 
她 的 加 密 结果 的 FBI， 她 把 {0，1，2，6，9，10} 发 送 给 Bob。 


(4) Bob 取 Bl ，B, ，...，Be ， 并 对 索引 不 在 集合 {0，1，2，6， 
9，10} 中 的 每 一 个 位 用 其 补 来 代替 。 例 如 : 


By = 111111600100 = 1988 
B, = 011001111100 = 1660 
他 将 B1， Bz, +, Bs 发 送 给 Alice。 


Carol 取 Cl > Cz» > Cgo 并 对 索引 不 在 集合 {0，1，4，5，6} 中 
的 每 一 个 位 用 其 补 来 代替 。 例 如 : 


C, = 0100010100100 = 2212 
C’, = 1011100101000 = 5928 


~} / ~/ 
她 将 C1 , Cr g Ey Cs 发 送 给 Alice。 





(5) Alice 用 Bob 的 私人 密 钥 来 解密 所 有 的 C; ， 并 把 该 结果 与 5, 相 
异 或 。 例 如 ， 对 于 i=7， 


5928 mod 7387=2212, 2546 ®2212=342 


她 将 该 结果 发 送 给 Bob。 





Alice 用 Carol 的 私人 密 钥 来 解密 所 有 的 吾 ; ， 并 把 该 结果 与 5; 相 异 
或 。 例 如 ， 对 于 让 2， 


1660226! mod 2747=1988, 471 ® 1988=1555 
她 将 该 结果 发 送 给 Carol。 


(6) Bob 通 过 将 Cy 与 他 从 Alice 接 收 到 的 第 7 个 数 相 异 或 来 计算 Sz 


2212 ®342=2546 
Carol 通 过 将 B, 与 她 从 Alice 接 收 到 的 第 2 个 数 相 异 或 来 计算 $，: 


1988 © 1555=471 





该 协议 对 任意 数目 的 买主 都 有 效 。 如 果 Bob、Carol 和 Dave 三 人 想 买 
秘密 ， 则 给 每 个 买 者 两 个 公开 密 铀 ， 分 别 相 对 于 另外 两 个 人 。 每 一 个 买 
者 能 从 其 他 每 一 个 买主 得 到 一 组 数 。 然 后 ， 他 们 与 Alice 一 起 对 每 组 数 都 








成 该 协议 ， 并 将 其 与 所 有 来 自 Alice 的 最 终结 果 相 异 或 就 得 到 他 们 的 秘 


完 
密 。 详 情 见 文献 L1374. 1175] 。 


遗憾 的 是 ， 一 对 不 诚实 的 参与 者 能 够 进行 欺骗 。Alice 和 Carol 合 谋 
可 以 很 容易 地 找 出 Bob 得 到 什么 秘密 : 如 果 他 们 知道 Cb 的 FBI 和 Bob 的 加 
密 算法 ， 他 们 就 能 找到 b 使 得 C, 有 正确 的 FBI。 而 Bob 和 Carol 合 谋 可 以 
很 容易 地 从 Alice 得 到 所 有 的 秘密 。 


如 果 假 定 参 与 者 都 很 诚实 ， 则 协议 很 简单 3839] 。 
(1) Alice 用 RSA 加 密 所 有 的 秘密 ， 并 把 它们 发 送 给 Bob: 
已 一 9mod n 
(2) Bob 选择 他 的 秘密 Cu 及 一 个 随机 数 r， 并 将 C' 发 送 给 Alice: 
C 一 Cremod n 
(3) Alice 将 P' 发 送 给 Bob: 
P'’=C '4mod n 


(4) Bobit 4S, : 


S,=P'~!mod n 


如 果 参 与 者 可 能 是 不 诚实 的 ， 那 么 Bob 可 以 用 零 知 识 证 明 : 他 知道 
某 个 fr 使 得 C' 二 Cp remodn， 并 保持 b 的 秘密 直到 在 第 (3) 步 中 Alice 把 P' 
给 他 [246] | 


23.10 ”公正 和 故障 保险 密码 系统 
23.10.1 公正 的 Diffie-Hellman 


公正 密码 系统 是 以 软件 方式 进行 密 钥 托管 的 一 种 方法 (参见 4.14 
节 ) 。 这 个 例子 取 自 Silvio Micali 11084 1085] 。 它 已 取得 专利 【1086、 


1087 | : 


在 基本 Diffie-Hellman 方 案 中 ， 一 组 用 户 共享 一 个 素数 p 和 一 个 产生 
元 g，Alice 的 私人 密 钥 是 s， 公 开 密 钥 是 t=gs mod po 


下 面 介 绍 怎样 使 Diffie-Hellman 方 案 公 正 〈 这 个 例子 使 用 了 5 个 托管 
人 ) 。 


(1) Alice 选 择 5 个 比 p-1 小 的 整数 si 、s> 、s3 Sy 和 ss ，Alice 的 私 


s= (s, +s) +S3 +s, +s, ) mod (p-1) 
公开 密 钥 是 : 
t=g° mod p 


Alice 计 算 ; 


t,=gimod p i=l, 2, +, 5 
Alice 的 公开 的 共享 密 钥 是 t ， 私 人 的 共享 密 钥 是 s 。 


(2) Alice 发 送 给 每 个 托管 人 一 段 私 人 密 钥 及 其 相应 的 一 段 公 开 密 
钥 。 例 如 ， 她 把 st 和 ti 发 送 给 1 号 托管 人 。 她 把 t 发 送 给 KDC。 


(3) 每 一 个 托管 人 验证 : 


ti =g" mod p 


如 果 它 成 立 ， 则 该 托管 人 对 t 签名 ， 并 把 它 发 送 给 KDC。 然 后 托管 
人 把 si 存储 在 一 个 安全 的 地 方 。 


(4) 在 接收 到 所 有 5 段 公开 密 钥 后 ，KDC 验 证 
t= (ty xt> xts xt4 Xts ) mod p 


如 果 它 成 立 ，KDC 认 可 这 个 公开 密 钥 。 





至 此 KDC 知 道 每 一 个 托管 人 都 有 一 段 有 效 密 钥 ， 而 且 如 果 需 要 他 们 
还 能 一 起 重 构 该 私人 密 钥 。 然 而 ， 无 论 是 KDC 还 是 任意 4 个 托管 人 都 不 
能 重 构 Alice 的 私人 密 钥 。 


Micali 的 文章 [1084、1085」 还 含有 使 RSA 成 为 公正 的 过 程 以 及 把 门 


限 方案 和 公正 的 密码 系统 组 合 在 一 起 的 过 程 ， 使 得 n 个 托管 人 中 有 ml 个 
在 场 就 能 重 构 该 私人 密 铀 。 





23.10.2 ”故障 保险 的 Diffie-Hellman 





和 前 面 的 协议 一 样 ， 一 组 用 户 共 享 一 个 系数 p 和 一 个 产生 元 g，Alice 
的 私人 密 钥 是 s， 公 开 密 钥 是 t=gs mod p- 


(1) KDC 选 择 一 个 0~p-2 之 间 的 随机 数 B， 并 使 用 位 承诺 协议 承诺 


B (14.97) 。 


(2) Alice 选 择 一 个 0 一 p-2 之 间 的 随机 数 A， 并 将 gA mod p 发 送 给 
KDC. 


(3) 用 户 和 使 用 一 种 可 验证 的 秘密 共享 方案 (参见 3.7 节 ) 的 每 一 


个 托管 人 共享 A。 
(4) KDC 把 B 泄 露 给 Alice。 
(5) Alice 验 证 第 (1) 步 中 的 承 话 ， 然 后 将 她 的 公开 密 钥 设置 为 : 
t= (gô) gP modp 


将 她 的 私人 密 钥 设置 为 : 


s= (A+B) mod (p-1) 
托管 人 能 够 重 构 A。 因 为 KDC 知 道 B， 所 以 能 重 构 s。 而 且 ，Alice 不 


能 利用 任意 国 下 信道 发 送 未 经 认可 的 信息 。 在 文献 1946. 833] 中 讨论 
的 这 种 协议 已 取得 专利 。 


23.11 知识 的 零 知 识 证 明 
23.11.1 离散 对 数 的 零 知 识 证 明 


Peggy 打 算 回 Victor 证 明 她 知道 一 个 x 满足 : 
A*=B (mod p) 


其 中 p 是 素数 ， 而 x 是 与 p-1 互 系 的 随机 数 。 数 A、B 和 p 是 公开 的 ，x 
是 秘密 的 ， 下 面 是 Peggy 怎 样 在 不 泄露 x 的 情况 下 证 明 她 知道 x 参见 5.1 


节 ) (ase. eg] 
(1) Peggy 产 生 t 个 随机 数 r ，r, ，...，Tt。T 小 于 p-1。 


(2) Peggy 对 所 有 的 i 值 计算 久 =A mod Pp ， 并 将 结果 发 送 


给 Victor。 


(3) Peggy 和 Victor 参 与 便 币 抛掷 协议 以 产生 t 个 位 bl » bo, ...5 bi 


(4) 对 所 有 t 个 位 ，Peggy 完 成 下 列 两 种 情况 中 的 一 种 : 


Ca) 如 果 bi =0， 她 将 r; 发 送 给 Victor。 


Cb) 如 果 bi =1， 她 将 Si = (ri -ri; ) mod (p-1) 发 送 给 Victor， 其 中 j 
是 bi =1 的 最 小 值 。 


(5) 对 所 有 t 位 ，Victor 进 一 步 证 明 下 列 两 种 情况 中 的 一 种 : 
(a) 如 果 b =0, HAA Sh: (mod p), 
(b) 如 果 bi =1, pa At Shih; (mod p) 。 
(6) Peggy 把 Z 发 送 给 Victor: 
Z= (x4, ) mod (p-1) 
(7) Victor 进一步 证 明 : 
A’=Bh,;' (mod p) 
Peggy 欺 骗 成 功 的 概率 是 2 。 


23.11.2 ”破译 RSA 能 力 的 零 知 识 证 明 


Alice 知 道 Carol 的 私人 密 钥 ， 或 许 她 破译 了 RSA， 或 许 她 进入 Carol 
的 房子 并 偷 到 了 该 密 钥 。Alice 打 算 使 Bob 相 信 她 知道 Carol 的 密 钥 ， 然 
而 ， 她 不 打算 将 这 个 密 钥 告诉 Bob， 甚 至 也 不 为 Bob 解 密 Carol 的 任何 一 
个 消息 。 下 面 是 Alice 使 Bob 相 信 她 知道 Carol 的 私人 密 钥 的 一 个 零 知 识 协 


议 [888] 。 
Carol 的 公开 密 钥 是 es， 私人 密 钥 是 4，RSA 模 数 是 n。 
(1) Alice 和 Bob 丙 定 一 个 随机 的 k 和 m， 使 得 
km=e (mod n) 


他 们 应 当 随 机 地 选择 这 些 数 : 使 用 一 种 硬币 抛掷 协议 来 产生 一 个 
k， 然 后 计算 mm。 如 果 k 和 mm 两 个 都 大 于 3， 协 议 继续 ;， 否则， 重新 选择 。 


(2) Alice 和 Bob 产 生 一 个 随机 密 文 C， 他 们 应 当 再 一 次 使 用 硬币 抛 
掷 协议 。 


(3) Alice 使 用 Carol 的 秘密 密 钥 来 计算 : 
M=cd mod n 
然后 计算 : 
X=Mk mod n 
并 将 X 发 送 给 Bob。 


(4) Bob 证 明 xm mod n=C， 如 果 成 立 ， 他 相信 Alice 所 说 的 事 是 真 
的 。 





有 一 个 类 似 的 协议 能 用 来 说 明 破译 离散 对 数 问题 的 能 力 [88s] 。 


23.11.3 n 是 一 个 Blum 整 数 的 零 知 识 证 明 


有 无 真正 实用 的 零 知 识 来 证 明 n=pq (p 和 q 是 同 余 3 模 4 的 素数 ) 仍 是 
未 知 的 。 然 而 ， 如 果 使 n 具 有 pr gs 《r 和 s 是 奇数 ) 的 形式 ， 那 么 可 以 将 
Blum 整 数 用 在 密码 学 中 。 而 且 存在 一 种 零 知 识 证 明 ， 证 明 n 有 具有 那 种 形 
式 。 


假定 Alice 知 道 Blum 整 数 n 的 因子 分 解 ， 其 中 n 具 有 上 述 形式 。 下 面 
所 介绍 的 就 是 Alice 怎 样 向 Bob 证 明 n 具 有 上 述 形式 L660] 。 


(1) Alice 把 具有 雅克 比 符号 -1 mod n 的 一 个 数 u 发 送 给 Bob。 


(2) Alice 和 和 Bob 共同 了 商定 随机 二 进 制 数 : bl ，b, ，.…，Pbk 。 
(3) Alice 和 Bob 共 同 商定 随机 数 : Xi ，X。 ，..……，Xk 。 


(4) 对 于 i=1，2，.…，k，Alice 将 以 下 4 个 数 中 一 个 数 的 平方 根 模 n 
发 送 给 Bob: x; ，-x; ，ux; ，-ux; 。 该 平方 根 必须 具有 雅克 比 符号 b; 。 





Alice 成 功 欺骗 的 可 能 性 是 1/2k 。 


2312 Bee 
David Chum k H T BA HONEA: (5.34) [317、323] ， 还 给 
出 了 第 一 个 实现 方案 [318] ， 该 方案 使 用 RSA 算 法 。 


Bob 有 一 个 公开 密 钥 e、 一 个 私人 密 钥 d 和 一 个 公开 模 数 "，Alice 打 
算 让 Bob 对 消息 m 进 行 目 签 。 


(1) Alice 在 1~n 之 间 选 择 一 个 随机 值 k， 然 后 她 通过 下 列 计算 隐蔽 


t=mk* mod n 

(2) Bob 签署 t: 
td= (mke ) dmodn 

(3) Alice 通 过 下 列 计算 揭 开 td : 
s=td /kmod n 

(4) 其 结果 是 : 


s=md kmod n 


这 很 容易 证 明 ， 因 为 : 


td= (mk ) d=mdk (mod n) 


所 以 


td /k=md k/k=m* (mod n) 


Chaum 在 文献 L320, 324] FRH S-iRERBAN SEA GE, W 
为 无 预测 的 盲 签 名。 这 些 签名 在 结构 上 更 为 复杂 ， 但 是 更 为 灵活 。 











23.13 “不经意 传输 


在 Michael Rabin 提 出 的 这 个 协议 [1286] 中 ，Alice 有 50%% 的 机 会 把 
两 个 素数 p 和 qd 发送 给 Bob。Alice 不 知道 传输 是 否 成 功 〈 参 见 5.5 节 ) 。 
(如果 p 和 qd 泄露 了 RSA 的 私人 密 钥 ， 那 么 该 协议 可 用 于 以 50% 的 成 功率 
癌 Bob 发 送 任意 消息 。) 





(1) Alice 将 两 个 素数 的 乘积 : n=pq， 人 发送 给 Bob。 


(2) Bob 选 择 一 个 小 于 n 的 随机 数 x， 使 得 x 与 n 互 素 ， 他 发 送 给 
Alice: 


a=x? mod n 


(3) 知道 p 和 q 的 Alice 计 算 a 的 4 个 平方 根 : x、n-x、y 和 n-y。 她 随 
机 地 选择 这 些 根 中 的 一 个 ， 并 将 它 发 送 给 Bob。 


(4) 如 果 Bob 接收 到 y 和 n-y， 他 能 计算 x+y 和 mn 的 最 大 公 因数 。 该 公 
因数 不 是 p 就 是 g， 因 此 很 自然 就 有 n/p=q。 





如 果 Bob 接 收 到 x 或 n-x， 他 什么 都 不 能 计算 出 来 。 


该 协议 可 能 有 一 个 弱点 : Bob 能 计算 一 个 数 a， 使 得 给 定 a 的 平方 
根 ， 就 始终 能 计算 n 的 因子 。 


23.14 ”保密 的 多 方 计算 


下 面 这 个 协议 来 自 文献 [1373] 。Alice 知 道 一 个 整数 :，Bob 知 道 一 
个 整数 j，Alice 和 Bob 都 想 知道 是 i<j， 还 是 i>j， 但 Alice 和 Bob 都 不 希望 
泄露 他 们 各 自 知 道 的 整数 。 这 种 保密 的 多 方 计 算 的 特殊 情况 〈 参 见 6.2 
节 ) 有 时 称 为 姚 氏 百 万 富翁 问题 -1627] 。 





例如 ， 假 定 i 和 j 的 取 值 范围 是 从 1~100，Bob 有 一 个 公开 密 铀 和 一 个 
私人 密 钥 。 


(1) Alice 选 择 一 个 大 随机 数 x， 并 用 Bob 的 公开 密 钥 加 密 : 
c=Ep (x) 

(2) Alice 计 算 c-i， 并 将 结果 发 送 给 Bob。 

(3) Bob 计 算 下 面 的 100 个 数 : 

yu =DB (c-itu) 1<u<100 

Dp 是 使 用 Bob 的 私人 密 钥 的 解密 算法 。 


他 选择 一 个 大 的 随机 素数 p 〈p 应 该 比 x 稍 小 一 点 儿 ，Bob 不 知道 x， 
但 Alice 能 容易 地 告诉 他 x 的 大 小 ，， 然 后 计算 下 面 100 个 数 : 


ZJ =yumodp 1<u<100 

然后 他 对 所 有 uzv， 验 证 

ren E 

并 对 所 有 的 u， 验 证 

0=z <p-1 

如 朵 不成 立 ，Bob 束 选择 力 一 个 系数 并 重复 试验 。 
(4) Bob 将 以 下 数列 发 送 给 Alice: 

Zy» Z2% wee Zr Ziy tl, Ztl, ..., Zi00 +1, P 


(5) Alice 检 查 这 个 数列 中 的 第 i 个 数 是 否 同 余 x 模 p。 如 果 同 余 ， 她 
得 出 的 结论 是 i<j;， 如 末 不 同 余 ， 她 得 出 的 结论 是 i>j。 


(6) Alice 把 这 个 结论 告诉 Bob。 


Bob 在 第 (3) 步 中 所 做 的 验证 完全 是 为 了 保证 第 (4) 步 产 生 的 数 
列 中 没有 任何 一 个 数 出 现 两 次 ; 否则 ， 如 条 za =zb ，Alice 束 将 知道 a<j 一 
b。 





该 协议 的 一 个 缺点 是 : Alice 在 Bob 之 前 就 获悉 了 计算 的 结果 。 没 有 
什么 能 阻止 她 完成 该 协议 直到 第 (5) 步 ， 然 后 在 第 〈6) 步 拒绝 告诉 


Bob 结 果 ， 甚 至 在 第 (6) WA n REX Bobi o 





协议 的 一 个 例子 


假设 他 们 使 用 RSA。Bob 的 公开 密 钥 是 7， 私 人 密 钥 是 23，n=55。 
Alice 的 秘密 值 是 4，Bob 的 秘密 值 ) 是 2( 假 设 i 和 j 的 可 能 取 值 仅 为 C, 
2,. 3. 4) « 


(1) Alice 选 择 x=39， 而 c=Eb (39) =19. 

(2) Alice 计 算 C-i=19-4=15， 她 将 15 发 送 给 Bob。 
(3) Bob 计 算 下 面 4 个 数 : 

yi =D8 (15+1) =26 

Yə =Dp (15+2) =18 

ya =Dp (15+3) =2 

ys =Dp (15+4) =39 

他 选择 p=31， 并 计算 


Z1 =26 mod 31=26 


Z) =18 mod 31=18 

Z3 =2 mod 31=2 

Z4 =39 mod 31=8 

他 完成 所 有 的 验证 ， 证 明 该 数列 是 好 的 。 

(4) Bob 以 下 述 顺 序 把 这 个 数列 发 送 给 Alice: 
26, 18, 2+1, 8+1, 31=26, 18, 3, 9, 31 


(5) Alice 检 查 这 个 数列 中 的 第 4 个 数 是 否 同 余 x 模 P。 因 为 
9439 (mod 31) ， 所 以 jj。 


(6) Alice 把 结果 告诉 Bob。 


该 协议 可 被 用 来 创建 更 复杂 的 协议 。 一 群 人 能 够 在 计算 机 网 络 上 进 
行 秘 密 担 卖 。 他 们 将 自己 安排 在 逻辑 组 中 ， 并 通过 单一 的 两 两 比较 来 确 
定 出 价 最 高 的 那个 组 。 为 了 防止 人 们 在 拍卖 中 间 改 变 目 己 的 出 价 ， 还 应 
当 使 用 茶 类 位 承 诡 协议 。 如 果 拍卖 是 荷兰 式 担 夹 ， 那 么 最 高 出 价 人 得 到 
最 高 价 的 项 目 ， 如 果 是 英国 式 拍卖 ， 那 么 最 高 出 价 人 得 到 次 高 价 的 项 
目 。《〈 这 由 第 二 轮 两 两 比较 就 能 确定 。) 类 似 的 应 用 还 有 议价 、 谈 判 和 











仲裁 。 


23.15 ”概率 加 密 


Shafi Goldwasser 和 Silvio Micali 发 明了 概率 加 密 (probabilistic 
encryption) 的 概念 [624」 。 虽 然 它 的 理论 使 它 成 为 已 发 明 的 最 安全 的 
密码 系统 ， 但 它 的 早期 实现 是 不 切实 际 的 [55」 。 最 近 的 一 些 实现 方案 
已 有 了 改变， 





概率 加 密 的 本 质 在 于 消除 了 由 公开 密 钥 密码 学 引起 的 信息 泄露 。 因 
为 密码 分 析 者 总 能 用 公开 密 钥 加 密 一 些 随 机 消息 ， 所 以 他 能 够 得 到 一 些 
信息 。 假 设 他 已 有 密 文 C=Ek (M) ， 并 企图 恢复 明文 M， 他 可 随机 地 
选择 一 个 消息 M'"， 并 对 它 进行 加 密 C' 二 Ex M) . WRC=C, AAT 
于 到 了 那个 正确 的 明文 ， 如 果 C'zC， 他 可 再 次 猜测 。 





而 且 ， 该 加 密 系 统 不 会 泄露 原始 消息 的 任何 信息 。 用 公开 密 钥 密码 
学 编码 ， 有 时 密码 分 析 者 能 分 析 到 一 些 位 特性 ， 如 第 5、17 和 39 位 的 寞 
或 是 1 等 。 使 用 概率 加 密 ， 甚 至 这 类 信息 都 是 隐蔽 的 。 





虽然 没有 获得 很 多 信息 ， 但 是 允许 密码 分 析 者 用 公开 密 钥 加 密 随 机 
消息 存在 的 潜在 问题 是 ， 每 当 和 密码 分 析 者 加 密 一 个 消息 时 ， 就 有 一 些 信 
恩 泄 露 给 他 ， 没 有 人 能 实际 地 知道 泄露 了 多 少 。 


概率 加 密 试 图 消除 这 种 泄露 ， 目 标 是 对 密 文 或 任何 其 他 试验 明文 的 


任何 计算 都 不 能 给 密码 分 析 者 关于 对 应 明文 的 任何 信息 。 


在 概率 加 密 中 ， 加 密 算 法 是 概率 性 的 而 不 是 确定 性 的 。 换 句 话 说 ， 
大 量 的 密 文 将 解密 成 一 个 给 定 的 明文 ， 而 用 于 任何 给 定 加 密 中 的 特定 密 
文 是 随机 选择 的 。 





C, =Ex (M) ’ C4 =Ex (M) , C3 =Ex (M) y D Ci =Ex 
(M) 
M=DKF CC, ) =Dx (C> ) =Dk (C3 ) =...=Dxk CC; ) 


FAR LS EE, BEES} ae A As BL SC PG TEE) E 
文 。 为 了 解释 这 一 点 ， 假 定 密码 分 析 者 有 密 文 C SE, (M) ， 即 使 他 正 
确 地 猜 到 了 M， 但 当 他 们 加 密 Ek M 时 ， 结 果 将 是 完全 不 问 的 C : Ci 
。 他 不 能 比较 Ci 和 Cj ， 所 以 他 也 就 不 可 能 知道 他 已 正确 地 猜 到 了 消 


=| 


JU oO 


这 是 一 个 令 人 惊异 的 严酷 事实 。 即 使 密码 分 析 者 有 公开 加 密 密 钥 、 
明文 和 密 文 ， 但 他 在 没有 私人 解密 密 钥 情况 下 仍 不 能 证 明 该 密 文 就 是 明 
文 加 密 的 结果 。 即 使 他 采用 穷 举 搜索 也 只 能 证 明 每 一 个 可 想象 到 的 明文 
都 是 可 能 的 明文 。 








在 该 方案 中 ， 密 文 数 目 始 终 比 明文 多 。 你 不 必 在 这 方面 花 力气 ， 它 
是 许多 密 文 解密 成 相同 明文 这 一 事实 的 结果 。 第 一 个 概率 加 密 方案 





[625] 的 密 文 比 明文 多 得 多 ， 以 至 于 无 法 使 用 。 





IR, Manuel Blum 和 Shafi Goldwasser 提 出 了 概率 加 密 的 有 效 实现 
方案 ， 此 方案 使 用 17.9 节 摘 述 的 Blum Blum Shab (BBS) 随机 位 发 生 器 


[159] . 


BBS AR RET KARER. AANER Rpg, “EAN 
是 私人 密 钥 ， 它 们 的 积 pq=n 是 公开 和 密 钥 (小心 保存 你 的 p 和 q， 这 个 方案 
的 安全 性 取决 于 分 解 n 的 难度 ) 。 

加 密 消 妃 M 时 ， 首 先 选 择 一 个 与 n 互 素 的 随机 数 x， 然 后 计算 : 


Xo =x? mod n 
用 xo 作为 BBS 伪 随 机 位 发 生 怖 的 种 子 ， 并 且 将 发 生 圳 的 输出 作为 一 


个 序列 密码 。 将 发 生 堪 的 输出 与 M 进 行 异 或 ， 每 次 1 位 。 发 生 堪 的 输出 
位 为 bl 《xi 的 最 低 有 效 位 ，x; -Wi mod n) ， 所 以 : 





C=M, @bi ，M, @b,，M;3 Bb3，...，M Ob, tt 是 明文 的 长 度 








将 最 后 计算 的 值 x 附 在 该 消 妃 的 尾部 ， 便 完成 了 加 密 过 程 。 


解密 这 个 消 轧 的 唯一 办 法 是 恢复 xo ， 然 后 建立 一 个 相同 的 BBS 发 生 
器 与 密 文 异 或 。 因 为 BBS 发 生 器 对 左边 是 安全 的 ， 所 以 x 对 密码 分 析 者 


没有 用 ， 只 有 知道 p 和 g 的 人 才能 解密 该 消息 


Mx, 中 恢复 xo 的 C 语 言 程 序 如 下 : 


Line XO (Tmt oO, at @, int DM Ime ©, uE XE) 
{ 
imt a; Be U; Be Wp BS 
/* we already know that gcd(p, q) == 1 */ 
(void)extended euclidian(p, q; &a, &b); 
modexp ((p+1)/4, t, p-1); 
modexp ((q+1)/4, t, q-1); 
modexp (xt%p, u, p); 
modexp (xt%q, v, q); 
return (b*q*w + a*p*z) % n; 


NE< CE 


一 旦 有 了 xo ， 解 密 就 容易 了 。 只 要 建立 BBS 发 生 需 并 用 密 文 异 或 它 
的 输出 。 





通过 使 用 所 有 的 保密 位 x; ， 而 不 是 最 低 有 效 位 ， 能 使 该 方案 运行 得 
更 快 。 如 此 改进 后 ，Blum-Goldwasser 概 率 加 密 比 RSA 还 快 ， 且 不 会 
露 有 关 明 文 的 任何 消息 。 破 译 该 方案 的 难度 与 分 解 n 的 难度 相同 。 





另 一 方面 ， 该 方案 完全 不 能 抗 选 择 密 文 攻击 。 根 据 右 边 的 二 次 剩余 
的 最 低 有 效 位 可 以 计算 出 任何 二 次 剩余 的 平方 根 ， 如 果 能 这 样 计算 ， 那 
么 就 能 分 解 因子 。 详 情 见 文献 C1570. 1571, 35. 36] à- 


23.16 ”量子 密码 学 


量子 密码 学 起 因 于 量子 世界 的 自然 不 确定 性 。 可 用 量子 密码 学 创建 
一 个 具有 下 述 特性 的 通信 信道 :在 该 信道 中 想 不 干扰 传输 而 进行 窃听 是 
不 可 能 的 。 物 理 法 则 保证 了 这 个 量子 信道 的 安全 性 : 即使 鳃 听 者 能 做 他 
想 做 的 任何 事情 ， 并 有 无 限 的 计算 资源 ， 甚 至 P=NP。Charles Bennett, 
Gilles Brassrd, Claude Crépeau 以 及 其 他 人 已经 扩展 了 这 种 思想 ， 摘 述 了 
量子 密 钥 分 配 、 量 子 人 硬币 抛掷 、 量 子 位 承诺 、 量 子 不 经 意 传 输 ， 以 及 量 
子 保密 多 方 计 算 ， 见 文献 [128、129、123、124、125、133、126、 





394, 134, 392. 243, 517. 132, 130, 244, 393, 396] 中 。 最 好 的 量 
子 密码 学 综述 可 在 文献 L131] 中 找到 ， 文 献 11651] 是 另外 一 篇 较 好 
的 非 技术 性 综述 。 完 整 的 量子 密码 学 文献 目录 是 [237] 。 





尽管 量子 密码 学 仍然 是 密码 学 中 一 个 极其 初步 的 科目 ， 但 Bennett 和 
Brassard 却 实际 建立 了 量子 密码 的 一 种 工作 模型 “27 121, 122] 。 现 在 
我 们 已 经 有 了 实验 性 的 量子 密码 。 


所 以 请 你 回 到 座位 去 ， 喝 杯 饮 料 放 松 一 下 ， 我 正 打算 解释 这 里 所 谈 
的 事情 。 








根据 量子 力学 ， 粒 子 实际 上 不 会 在 任何 一 个 单独 的 地 方 存在 ， 它 们 
以 不 同 概率 同时 在 多 个 地 方 出 现 ， 如 果 某 人 能 看 见 的 话 。 直 到 科学 家 取 


得 进展 并 测量 粒子 时 ， 它 才 跌 入 一 个 单独 的 场所 。 但 你 不 能 同时 测量 粒 
子 的 每 个 方面 (例如 ,位置 和 速率 ) ， 如 果 你 测量 了 这 两 个 量 中 的 一 

， 那 么 正 是 这 种 测量 活动 破坏 了 测量 另 一 个 量 的 任何 可 能 性 。 在 量子 
世界 中 存在 一 种 基本 的 不 确定 性 ， 并 且 是 无 法 避免 的 。 





这 种 不 确定 性 能 用 来 产生 秘密 密 钥 。 当 光子 传导 时 会 在 某 个 方向 上 
发 生 振 荡 ， 上 、 下 、 左 、 右 ， 多 数 则 是 按 某 个 角度 振荡 。 正 季 的 太阳 光 
古 非 极 化 的 ， 在 每 一 个 方向 部 有 光子 振荡 。 当 大 量 的 光子 在 同一 个 方向 
振荡 时 ， 它 们 是 极 化 的 〈polarized) ， 极 化 滤波 器 只 允许 在 某 一 方向 极 
化 的 光子 通过 。 而 其 余 的 光子 则 不 能 通过 。 例 如 ， 水 平 极 化 滤波 器 只 人 允 
许 水 平方 向 极 化 的 光子 通过 。 将 极 化 滤波 旨 旋 转 90*， 则 只 允许 垂直 方 
加 的 极 化 光子 通过 。 











假如 你 有 一 束 水 平 极 化 光子 ， 如 果 它 们 企图 通过 一 个 水 平方 同 的 极 
化 滤波 器 ， 那 么 它们 可 以 全 部 通过 。 慢 慢 地 将 极 化 滤波 器 转动 90*， 通 
过 的 光子 数目 逐渐 减 小 ， 直 到 完全 没有 光子 通过 ， 这 是 反 直 觉 的 。 你 会 
认为 极 化 滤波 器 刚 旋转 一 点 儿 ， 束 将 阻止 所 有 光子 通过 ， 因 为 这 些 光 子 
古 水 平 极 化 的 。 但 是 在 量子 力学 中 ， 每 一 个 粒子 部 有 突然 将 其 极 化 切换 
以 便 与 极 化 滤波 器 匹配 的 可 能 性 。 如 果 角 度 偶 一 点 儿 ， 这 种 可 能 性 就 
大 ;如 果 偶 离 角 度 是 90"， 可 能 性 为 0， 如 宁 偶 离 角 上 度 为 45"， 可 能 性 为 
50% 。 














可 以 在 任意 基 (basis) 上 测量 极 化 强度 : 直角 的 两 个 方向 。 一 


基 例 子 就 是 直线 : 水 平 线 和 垂直 线 。 另 一 个 就 是 对 角 线 : AARMA 
对 角 线 。 如 果 一 个 光子 脉冲 在 一 个 给 定 的 基 上 被 极 化 ， 而 且 你 在 同一 个 
基 上 测量 ， 你 就 得 到 了 极 化 强度 。 如 果 你 在 一 个 错误 的 基 上 测量 极 化 强 
度 ， 你 得 到 的 将 是 随机 结果 。 我 们 将 使 用 这 个 特性 来 产生 秘密 密 钥 : 


(1)〉Alice 把 一 串 光子 脉冲 发 送 给 Bob， 其 中 每 一 个 脉冲 都 随机 地 
在 4 个 方向 上 被 极 化 : 水 平 线 、 垂 直线 、 左 对 角 线 和 右 对 角 线 。 


例如 ，Alice 给 Bob 发 送 的 是 : 


ie eee ae’ | 
(2) Bob MRI aso HEBER ATU as OC NCU E EAA, 
或 设置 成 测量 对 角 线 极 化 ， 但 他 不 能 同时 做 这 两 种 测量 ， 因 为 量子 力学 
不 允许 他 这 样 做 。 测 量 一 个 残破 坏 了 测量 男 外 一 个 的 任何 可 能 性 。 所 以 
他 随机 地 设置 检测 器 。 例 如 ， 


:niet A eae 








现在 ， 当 Bob 正 确 地 设置 了 他 的 检测 器 时 ， 他 将 记录 正确 的 极 化 。 
如 果 他 将 检测 需 设 置 成 测量 直线 极 化 ， 而 脉冲 被 直线 极 化 ， 那 么 他 将 获 
得 Alice 极 化 光子 的 方向 ， 如 果 他 将 检测 需 设 置 成 测量 对 角 线 极 化 ， 而 脉 
冲 被 直线 极 化 ， 那 么 他 将 得 到 一 个 随机 的 测量 结果 。 他 不 知道 差别 ， 在 
本 例 中 ， 他 可 能 获得 结果 : 


| | = 
(3) Bob 在 一 个 不 安全 的 信道 上 告诉 Alicee， 他 使 用 了 什么 设置 。 


(4) Alice 告 诉 Bob 哪 些 设置 上 是 正确 的 。 在 本 例 中 ， 检 测 器 对 第 
2、6、7、9 脉 冲 是 正确 设置 。 


(5) Alice 和 Bob 只 保存 被 正确 测量 的 那些 极 化 。 在 本 例 中 ， 他 们 
保存 : 


x | x * x \—x—-x 


使 用 预先 设置 的 代码 ，Alice 和 Bob 能 把 那些 极 化 测量 转变 成 位 。 例 
如 ， 水 平 线 和 左 对 角 线 是 1， 垂 直线 和 右 对 角 线 是 0。 在 本 例 中 ， 他 们 两 
人 都 有 : 0011。 


所 以 ，Alice 和 Bob 产 生 了 4 位 ， 利 用 该 系统 他 们 能 产生 需要 的 位 。 
Bob 猜 出 正确 设置 的 机 会 平均 是 每 次 50% ， 所 以 为 了 产生 n 位 ，Alice 必 
须发 送 2n 个 光子 脉冲 。 他 们 能 使 用 这 些 位 作为 对 称 算法 的 秘密 密 钥 ， 或 
者 能 为 一 次 一 密 乱 码 本 产生 足够 的 位 并 提供 绝对 的 安全 性 。 











但 是 别 高 兴 得 太 早 ，Eve 有 可 能 正在 贸 听 。 与 Bob 一 样 ， 她 必须 猜 
测 测 量 的 古 哪 一 种 类 型 的 极 化 ， 并 且 像 Bob 一 样 ， 她 的 猜测 中 有 一 半 是 
错误 的 。 因 为 错误 的 猜测 改变 了 光子 的 极 化 ， 所 以 她 在 她 甸 听 的 脉冲 中 





引起 了 错误 。 如 果 她 这 样 做 了 ，Alice 和 Bob 将 最 后 得 出 不 同 的 位 串 。 如 
果 是 这 样 ，Alice 和 Bob 可 以 像 下 面 这 样 完成 协议 : 


(6) Alice 和 Bob 比 较 位 串 中 少量 的 几 位 。 如 果 有 差别 ， 他 们 知道 
正在 被 穷 听 ;如果 没有 任何 差别 ， 他 们 放弃 用 于 比较 的 那些 位 ， 而 使 用 
剩 下 的 位 。 





增强 这 个 协议 ， 即 使 在 Eve 存 在 的 情况 下 ， 仍 然 允许 Alice 和 Bob 使 
用 他 们 的 位 【133、134、192] 。 他 们 只 能 比较 那些 位 的 子 集中 的 一 部 分 。 
然后 ， 如 果 没 有 找到 差别 ， 他 们 只 需要 放弃 子 集中 的 一 位 。 虽 然 只 有 
50%% 的 概率 检 训 到 禄 听 ， 但 是 ， 如 宁 他 们 采用 n 个 不 同 的 子 集 ， 那 么 在 
不 检测 的 情况 下 Eve 窃听 的 概率 为 /2 。 





在 量子 世界 没有 被 动 鳃 听 这 样 的 事情 。 如 果 Eve 试 图 恢复 所 有 的 
位 ， 那 么 她 就 必须 破坏 通信 。 


Bennett 和 Brassard 建 立 了 一 个 量子 密 钥 分 配 的 工作 模型 ， 并 在 一 张 
激光 工作 人 台 上 进行 了 安全 的 位 交换 。 最 近 我 听 说 英国 电信 部 门 中 一 些 人 
正 通过 一 根 10 千 米 长 的 光纤 链 路 发 送 位 L276 1245. 15331 。 他 们 预测 50 
干 米 长 是 可 行 的 。 这 种 想法 是 惊人 的 。 
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设计 协议 和 算法 只 是 密码 学 的 一 个 方面 ， 将 它们 实际 应 用 在 可 操作 
的 系统 中 则 是 另 一 方面 。 理 论 上 ， 理 论 与 实践 是 一 致 的 。 但 在 实际 应 用 
中 ， 它 们 还 是 有 区 别 的 。 通 常 ， 理 论 上 很 好 的 方案 在 实际 中 却 无 法 实 
现 。 或 者 是 对 带宽 的 要 求 太 高 ， 或 者 协议 中 延迟 太 多 。 第 10 间 讨论 了 一 
些 有 关 应 用 密码 算法 的 问题 ， 本 章 给 出 了 一 些 实际 实施 方案 的 例子 。 








24.1 IBM 秘 密 密 钥 管 理 协议 





20 世 纪 70 年 代 末 ， 和 针对 计算 机 网 络 中 通信 及 文件 安全 问题 ，IBM 公 
司 开发 了 一 个 完整 的 密 钥 管 理 系 统 ， 该 系统 仅 采用 了 对 称 密码 学 【515、 
10271 。 该 协议 的 总 体 原理 更 重 于 实际 机 制 : 密 钥 的 自动 化 产生 、 分 
发 、 安 装 、 和 存储 、 更 改 以 及 消除， 该 协议 确保 基本 密码 学 算法 的 安全 
性 。 





该 协议 主要 提供 了 三 项 功能 : 一 个 服务 器 与 多 个 终端 之 间 的 安全 通 
言 、 服 务 顺 上 安全 的 文件 存储 和 服务 器 之 间 的 安全 通信 。 虽 然 该 协议 经 
过 修改 后 能 够 文 持 下 接 的 端 - 端 通信 ， 但 协议 本 映 并 不 提供 此 种 服务 。 


ll 


网 络 上 的 每 一 个 服务 器 都 与 一 个 既 用 做 加 密 又 用 做 解密 的 密码 设备 
相连 。 每 个 服务 器 都 有 一 个 主 密 钥 (Master Key) KMo MKM, 的 两 个 
简单 变型 KMj KM, 。 这 些 密 钥 用 于 加 密 其 他 密 钥 和 产生 的 新 密 钥 。 
每 个 终端 都 有 一 个 终端 主 密 钥 (Master Terminal Key) KMT， 用 于 实现 
不 同 终端 之 间 的 密 钥 交 换 。 


服务 器 存储 KMT， 并 用 KM 加 密 。 所 有 其 他 密 钥 ， 如 用 于 加 密 文 
件 的 密 钥 ( 称 为 KNF)〉， 则 以 KM, 加 密 形式 存储 。 主 密 钥 KMo 存储 在 
某 个 非 易 失 的 安全 模块 中 。 如 今 它 既 可 以 是 存储 在 ROM 中 的 密 铀 ， 也 
可 以 是 一 个 磁卡 ， 甚 至 可 由 用 户 手工 输入 《可 能 作为 文字 串 然 后 作为 密 


钥 碾 压 ) o KM; MKM, 并 不 存储 在 系统 内 ， 需 要 时 ， 由 KMo 计算 出 
来 。 服 务 器 之 间 通 信 所 用 的 会 话 密 钥 在 服务 器 内 通过 伪 随 机 数 处 理 产 
生 。KNF 也 以 同样 的 方式 产生 。 


该 协议 的 核心 是 一 个 能 防 复 改 的 模块 ， 称 为 密码 设备 
(cryptographic facility) 。 在 服务 器 和 终端 上 ， 所 有 的 加 密 与 解密 都 在 
该 设备 内 完成 。 最 重要 的 密 钥 ， 即 那些 用 于 产生 实际 加 密 密 钥 的 密 钥 ， 
也 存储 在 这 个 模块 内 。 这 些 密 钥 一 旦 存 入 便 无 法 读 出 。 它 们 根据 用 途 分 
类 : 专用 于 某 一 目的 的 密 钥 不 会 误 用 于 其 他 的 目的 。 密 钥 控 制 矢 量 
(key control vector) 的 概念 也 许 是 该 系统 最 大 的 贡献 。Donald Davies 
和 William Price 在 [435] 中 详细 讨论 了 该 密 钥 管理 协议 。 


一 种 变型 
文献 [1478] 给 出 了 对 该 方案 的 主 密 钥 和 会 话 密 钥 的 一 种 变型 。 该 


方案 围绕 网 络 市 点 设 置 ， 有 共有 为 本 地 终端 服务 的 密 钥 公 证 (key 


notarization) 设备 。 该 方案 设计 旨 在 提供 : 





-任何 两 个 终端 用 户 之 间 的 双 癌 安全 通信 。 


使 用 加 密 邮 件 的 安全 通信 。 


AS OCH ER 





在 用 户 间 进 行 通信 和 文件 传递 时 ， 该 方案 使 用 在 密 钥 公证 设备 中 产 
生 的 密 钥 ， 并 用 主 密 钥 加 密 后 传 给 用 户 ， 用 户 的 喘 份 与 密 钥 一 起 提供 证 
明 : 在 一 对 特定 的 用 户 之 间 使 用 了 会 话 密 钥 。 密 钥 公 证 属性 就 是 该 体制 
的 核心 。 尽 管 该 系统 没有 使 用 公开 密 钥 密码 学 ， 但 它 却 具 有 类 似 数字 签 
名 的 功能 : 密 钥 只 有 一 个 特定 的 来 源 ， 也 只 能 被 一 个 特定 的 目的 站 读 
HH 





24.2 MITRENET 





公开 密 钥 密码 学 最 早 的 实现 之 一 是 一 个 实验 系统 MEMO (MITRE 
Encrypted Mail Office) 。MITRE 是 美国 国防 部 的 一 个 承包 商 ， 也 是 政府 
智 宫 团 。MEMO 是 为 MITRENET 的 网 络 用 户 提 供 安 全 的 电子 邮件 系统 。 
MEMO 使 用 公开 和 密 钥 密码 进行 密 钥 交换 ， 使 用 DES 进 行文 件 加 密 。 








在 MEMO 系 统 中 ， 公 开 密 钥 分 配 中 心 是 网 络 上 单独 的 一 个 节点 ， 所 
有 的 公开 密 钥 都 存储 在 该 中 心 。 这 些 公开 密 钥 存储 在 EPROM 中 ， 以 防 
任何 人 对 它 进行 更 改 。 私 钥 由 用 户 或 系统 产生 。 





为 了 使 用 户 安全 地 发 送信 息 ， 系 统 首先 与 公开 密 钥 分 配 中 心 建立 一 
条 安全 通信 信道 。 用 户 向 中 心 请 求 一 个 含有 所 有 公开 密 钥 的 文件 。 如 果 
用 户 使 用 私人 密 钥 通过 了 身份 识别 测试 ， 中 心 就 将 该 文件 发 给 该 用 户 的 
工作 站 。 为 了 保证 文件 的 完整 性 ， 这 份 清单 用 DES 加 密 。 

该 系统 使 用 DES 加 密 信 息 。 系 统 首先 产 生 一 个 随机 的 DES 密 钥 对 文 


件 加 密 ， 用 户 用 该 DES 密 钥 加 密 文 件 ， 并 用 接收 者 的 公开 密 钥 加 密 DES 
密 钥 。 用 DES 加 密 的 文件 和 用 公开 密 钥 加 密 的 密 钥 部 及 送 给 接收 者 。 


MEMO 没 有 考虑 密 钥 丢 失 ， 但 考虑 了 用 校 验 和 来 检测 消 筷 的 完整 
性 。 系 统 内 没有 鉴别 。 





该 系统 所 用 的 特定 公开 密 钥 实现 基于 GF (217 ) 域 上 的 Diffie- 
Hellman 密 钥 交 换 协 议 ， 虽 然 它 易于 更 改 系统 以 使 用 更 大 的 数 ， 但 在 系 
统 实现 之 前 即 就 证 明 是 不 安全 的 《参见 11.6 节 ) 。MEMO 主 要 趋 于 实验 
的 目的 ， 在 实际 运行 的 MITRENET 系 统 中 从 未 使 用 过 。 





24.3 ISDN 


Bell-Northern 实 验 室 开 发 了 一 种 安全 的 综合 业务 数字 网 Cintegrated 
Services Digital Network, ISDN) 电话 终端 [499、1192、493、500」 。 作 为 
电话 ， 它 的 开发 没有 超过 原型 。 最 终 的 产品 是 分 组 数据 加 密 重 登 

(Packet Data Securitures Overlay) 。 访 终端 采用 Diffie-Hellman 密 钥 交 
换 、RSA 数 字 签名 和 DES 数 据 加 密 ， 它 能 以 64Kb/s 传 输 和 接收 语音 和 数 
Hi o 


24.3.1 284A 
该 终端 将 一 个 长 期 使 用 的 公开 密 钥 /私人 密 钥 密 钥 对 磐 入 在 电话 


中 ， 私 人 密 钥 存储 在 电话 中 防 扯 改 的 区 域内 ， 公 开 密 钥 则 作为 电话 的 号 
份 识别 ， 这 些 密 钥 都 是 电话 机 上 自身 的 部 分 ， 不 能 以 任何 方式 更 改 它们 。 





此 外 ， 电 话 中 还 存储 另外 两 个 公开 密 钥 。 其 一 是 电话 所 有 者 的 公开 
密 钥 ， 它 用 于 鉴别 来 自 所 有 者 的 命令 ， 并 可 通过 所 有 者 签发 的 指令 而 改 
这 样 ， 电 话 的 所 有 权 可 以 从 一 个 人 转 到 另 一 个 人 。 





~ 
A 
-> 


存储 在 电话 中 的 为 一 个 公开 密 钥 是 网 络 的 公开 密 钥 ， 它 用 于 鉴别 来 
目 网 络 密 钥 管 理 设备 的 指令 ， 同 时 也 用 于 鉴别 网 络 中 其 他 用 户 的 呼叫 。 
该 密 钥 也 可 通过 所 有 者 发 出 指令 而 更 改 ， 这 一 特性 允许 所 有 者 将 电话 从 


一 个 网 络 移 到 为 一 个 网 络 。 


这 些 密 钥 都 作为 长 期 密 铀 ， 即 它们 极 少 改变 。 电 话 中 还 存储 短期 公 
开 密 钥 / 私 人 密 钥 密 钥 对 ， 它 们 包装 在 一 个 由 密 钥 管理 设备 签发 的 证 书 
中 。 当 两 个 电话 准备 通话 时 ， 役 此 要 交换 证 书 ， 这 些 证 书 将 由 网 络 的 公 





证 书 的 这 种 交换 和 验证 只 能 建立 电话 到 电话 的 保密 呼叫 ， 要 建立 个 
人 到 个 人 的 保密 呼叫 ， 还 要 使 用 另外 的 协议 。 所 有 者 的 私人 密 钥 存储 在 
一 个 叫做 点 火 密 钥 (ignition key) 的 硬件 中 ， 该 硬件 由 所 有 者 插入 电话 
中 。 点 火 密 钥 包括 所 有 者 的 私人 密 钥 ， 私 人 密 钥 是 用 只 有 所 有 者 才 知 道 
的 口令 加 密 的 《电话 、 网 络 密 钥 管 理 设备 和 任何 其 他 人 均 不 知道 该 口 
令 ) 。 点 火 密 钥 还 包括 一 个 由 网 络 密 钥 管理 设备 签发 的 证 书 ， 该 证 书 含 
有 所 有 者 的 公开 和 密 钥 和 某 些 识别 信息 (如 名 称 、 公 司 、 安 全 许可 、 职 
称 、 最 喜欢 的 比萨 饼 等 ) 。 证 书 也 是 加 密 的 ， 要 解密 这 些 信息 并 将 其 输 
入 到 电话 中 ， 所 有 者 必须 在 电话 键盘 上 键入 其 口令 。 电 话 利 用 这 些 信息 
建立 呼叫 后 ， 所 有 者 一 旦 取出 其 点 火 密 铀 ， 这 些 信息 就 会 被 删 去 。 





电话 中 还 存储 一 组 来 自 网 络 密 钥 管理 设备 的 证 书 ， 这 些 证 书 授权 特 
定 的 用 户 使 用 特定 的 电话 。 


24.3.2 ”呼叫 


从 Alice 到 Bob 的 呼叫 以 如 下 方式 进行 : 


(1) Alice 将 其 点 火 密 钥 插 入 电话 并 输入 口令 。 


(2) 电话 质询 点 火 密 钥 以 确定 Alice 身 份 并 向 Alicle 发 出 拨号 音 。 


(3) 电话 审核 各 种 证 书 以 保证 用 户 具有 使 用 特定 电话 的 授权 。 


(4) Alice 拨 号 ， 电 话 开始 呼叫 。 





O 两 个 电话 用 公开 密 钥 密码 学 的 密 钥 交换 协议 产生 一 个 唯一 且 
随机 的 会 话 密 钥 。 所 有 的 后 续 协 议 步 又 均 用 该 密 钥 加 密 。 


(6) Alice 的 电话 传送 其 证 书 和 用 户 鉴 别 。 
(7) Bob 的 电话 用 网 络 公 开 密 钥 鉴 别 证 书 和 用 户 认 证 上 的 签名 。 


(8) Bob 的 电话 初始 化 一 个 询问 应 答 Cchallenge-and-reply) 序列 ， 
它 要 求 对 发 出 的 时 间 相 关 的 询问 做 实时 签名 应 答 〈 以 防止 栈 人 利用 从 以 
前 的 密 钥 交换 中 得 到 的 证 书 欺 骗 ) 。 其 中 一 个 应 答 必 须 用 Alice 电 话 的 私 
人 密 钥 签名 ， 男 一 个 必须 用 Alice 的 私人 密 钥 签名 。 


(9) 除非 Bob 已 经 在 打 电 话 ， 人 否则 电话 振 铃 。 


(10) 如 果 Bob 在 家 ， 他 将 其 点 火 密 钥 插入 电话 中 ， 他 的 电话 如 第 
(2) G) 步 那 样 质询 点 火 密 钥 和 检查 Bob 的 证 书 。 


(11) Bob 传 送 其 证 书 和 用 户 鉴 别 。 


(12) Alice 的 电话 像 第 (7) 步 一 样 鉴别 Bob 的 签名 ， 并 像 第 (8) 
步 一 样 初 始 化 一 个 询问 应 答 序列 。 








(13) 两 部 电话 分 别 在 显示 屏 上 显示 出 对 方 用 户 和 电话 的 号 份 。 


(14) 保密 通话 开始 。 


(15) 当 一 方 挂机 后 ， 会 话 密 钥 就 被 删除 ， 同 时 Bob 从 Alice 那 里 收 
到 的 证 书 与 Alice 从 Bob 那 里 收 到 的 证 书 也 被 删除 。 


对 于 每 次 呼叫 ，DES 密 钥 都 是 唯一 的 。 它 只 在 通话 期 间 存在 于 两 部 
电话 的 内 部 ， 通 话 结束 立即 销毁 。 即 使 敌人 截获 了 通话 中 的 一 个 电话 ， 
或 者 两 个 电话 ， 也 无 法 破解 这 两 部 电话 以 前 的 任何 通话 内 容 。 


24.4 STU-III 


保密 电话 单元 (Secure Telephone Unit, STU) 是 由 NSA 设 计 的 保密 
电话 。 该 保密 电话 与 普通 电话 的 大 小 和 形状 一 样 ， 使 用 方法 也 相同 。 该 
电话 也 是 防 算 改 的 ， 如 果 没 有 和 密 钥 ， 它 也 不 安全 。 它 有 一 个 数据 端口 ， 
可 用 于 调制 解 调 器 及 声音 信号 的 保密 通信 【1133] 


Whitfield Diffie 在 文献 [494] 中 描述 了 STU-III: 


用 STU-III 通 话 时 ， 呼 叫 方 首 先 同 男 一 个 STU-III 发 出 一 个 普通 电话 
呼叫 ， 接 着 插入 一 个 钥匙 形状 的 含有 密码 变量 的 设备 ， 并 且 按 下 “加 


密 "按钮 。 经 过 大 约 15 秒 的 时 间 等 待 密 








码 建立 ， 电 话 显示 双方 的 映 份 和 
许可 ， 接 下 来 就 可 以 进行 通话 。 
在 一 个 史无前例 的 提议 中 ，NSA 通 信安 全 主管 Walter Deeley 在 接受 


《纽约 时 报 》 独 家 访问 时 ， 宣 布 了 STU-II 或 者 未 来 的 保密 通话 系统 


[282] | 


新 系统 主要 为 国防 部 以 及 与 国防 部 相连 的 单位 提供 安全 的 语音 和 低 
数据 通信 。 这 次 访问 没有 公开 系统 的 工作 原理 ， 但 是 渐渐 地 有 一 些 信 


速 
息 
JOY 





泄露 出 来 。 新 系统 采用 了 公开 密 钥 。 新 的 密 钥 管理 方法 早 些 时 候 已 经 
在 文献 L68」 中 提出 ， 并 且 明 确 提 出 保密 电话 “每 年 利用 保密 电话 链 路 


重新 编程 一 次 ”， 强 烈 瞳 示 了 一 种 能 够 最 大 程度 降低 保密 电话 与 密 钥 管 
理 中 心 通话 需要 的 证 书 交 换 协 议 。 最 近 一 些 报告 更 多 地 提 给 一 个 称 为 
FIRE-FLY [134 的 密 钥 管理 系统 ， 它 “由 公开 密 钥 技 术 发 展 而 来 ， 用 
于 建立 一 对 通信 加 密 密 铀 ”。Cylink 的 Lee Neuwirth 己 将 建议 的 描述 和 陈 

述 递交 给 美国 国会 ， 他 建议 将 密 钥 交换 与 证 书 结合 起 来 ， 它 类 似 于 在 
ISDN 保密 电话 中 使 用 的 协议 。FIREFLY 也 是 基于 求 早 ， 这 一 点 似乎 是 
可 行 的 。 








STU-II 由 AT&T 和 GE 公司 制造 ，1994 年 已 经 生产 了 30 一 40 万 台 。 
一 种 新 版 本 ， 安 全 终端 设备 〈Secure Terminal Equipment, STE) 可 以 使 
用 在 ISDN 线路 上 。 


24.5 Kerberos 


Kerberos 是 为 TCP/IP 网 络 设计 的 可 信 第 三 方 鉴 别 协 议 。 网 络 上 的 
Kerberos 服 务 起 着 可 信 仲 裁 者 的 作用 。Kerberos 可 提供 安全 的 网 络 鉴 
别 ， 允 许 个 人 访问 网 络 中 不 同 的 机 器 。Kerberos 基 于 对 称 密码 学 (采用 
的 是 DES， 但 也 可 用 其 他 算法 替代 ) 。 它 与 网 络 上 的 每 个 实体 分 别 共享 
一 个 不 同 的 秘密 密 钥 ， 知 道 该 秘密 密 钥 就 是 身份 的 证 明 。 








Kerberos RYJ EEMAL (MIT) 为 Athena 项 目 而 开发 的 ， 
Kerberos 模 型 基于 Needham-Schroeder 的 可 信 第 三 方 协议 (参见 3.3 节 ) 
L1159」 。Kerberos 的 最 初版 本 ， 第 4 版 见 [1094、1499] 。 “第 1 一 3 版 
为 内 部 开发 版 本 ) ， 第 5 版 是 第 4 版 的 改进 版 ， 内 容 详 见 [876、877、 
878」。 最 好 的 介绍 Kerberos 的 文献 是 [1163] ， 其 他 的 一 些 评 论文 章 见 
[ 1384, 1493] ， 介 绍 Kerberos 实 际 应 用 的 两 篇 佳作 是 文献 [781、 
782]; 





24.5.1 Kerberos 模 型 





基本 的 Kerberos 协 议 已 在 3.3 节 做 过 介绍 。 在 Kerberos 模 型 中 ， 具 有 
安装 在 网 络 上 的 实体 : 客户 机 和 服务 器 。 客 户 机 可 以 是 用 户 ， 也 可 以 是 
处 理事 务 所 需要 的 独立 软件 程序 : 下 载 文件 、 发 送 消息 、 访 问 数据 库 、 





访问 打印 机 、 获 取 管 理 特 权 等 。 


Kerberos 有 一 个 所 有 客户 和 秘密 密 钥 的 数据 库 。 对 于 个 人 用 户 来 
说 ， 秘 密 密 钥 是 一 个 加 密 的 口令 ， 需 要 鉴别 的 网 络 业务 和 和 希望 运用 这 些 
业务 的 客户 机 需要 用 Kerberos 注 册 其 秘密 密 钥 。 


由 于 Kerberos 知 道 每 个 人 的 秘密 密 铀 ， 所 以 而 它 能 产生 一 个 实体 证 
实 另 一 个 实体 身份 的 消息 。Kerberos 还 能 产生 会 话 密 钥 ， 只 供 一 个 客户 
机 和 一 个 服务 器 〈 或 两 个 客户 机 ) 使 用 。 会 话 密 钥 用 来 加 密 双 方 间 的 通 
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Kerberos 使 用 DES 加 密 。Kerberos 第 4 版 提供 一 个 不 标准 的 鉴别 模 
型 。 该 模型 的 弱点 是 : 它 不 能 检测 密 文 的 某 些 改变 〈 人 参见 9.10 节 ) 。 
Kerberos 第 5 版 使 用 CBC 模 式 。 


24.5.2 Kerberos 工作 原理 


下 面 讨论 Kerberos 第 5 版 ， 它 与 第 4 版 的 区 别 稍 后 再 介绍 。Kerberos 
协议 很 简明 〈 见 图 24-1) ， 客 户 从 Kerberos 请 求 一 张 票据 作为 票据 许可 
服务 (Ticket-Granting Service, TGS) ， 该 票据 用 用 户 的 秘密 密 钥 加 密 
后 发 送 给 用 户 。 为 了 使 用 特定 的 服务 器 ， 客 户 需 要 从 TGS 中 请 求 一 张 票 
据 。 假 定 所 有 事情 均 按 序 进 行 ，TGS 将 票据 发 回 给 客户 ， 客 户 将 此 票据 
提交 给 服务 器 和 鉴别 器 。 如 果 客 户 的 身份 没有 问题 ， 服 务 器 就 会 让 客户 





访问 该 服务 。 
1. 请 求 票据 许可 票据 
2. 票 据 许 可 票 
3. 请 求 服务 器 票据 
4. 服 务 器 票据 
5. 请 求 服务 








Kerberos 


服务 器 


图 24-1 Kerberos 鉴 别 协议 步 又 


24.5.3 WE 


Kerberos 使 用 两 类 凭证 : 票据 (ticket) 和 鉴别 码 (authenticator) 





(本 市 后 面 使 用 Kerberos 中 的 缩写 ， 见 表 24-1) 。 累 据 用 于 秘密 地 回 服 
Fri ROSA SAP Ra, SAPLAMA Ea, WA as 
Be WS FIR LE S ERAEN BRA mA oe |] 

Fo BAAS Th — TUE, BERGHEI 





Kerberos 票 据 的 格式 如 下 : 


To, s=s, {c, a, V» Ke, , }K, 





对 单个 的 服务 器 和 客户 而 言 ， 票 据 很 有 用 。 它 包括 客户 名 、 服 务 右 


名 、 网 络 地 址 、 时 间 标 记 和 会 话 密 钥 。 这 些 信 息 用 服务 器 的 秘密 密 钥 加 
密 。 客 户 一 旦 获得 该 票据 ， 她 便 可 以 多 次 使 用 它 来 访问 服务 器 ， 直 到 票 
据 过 期 。 客 户 无 法 解密 票据 《〈 她 不 知道 服务 器 的 秘密 密 钥 ) ， 但 她 可 以 
以 其 加 密 的 形式 呈 递 给 服务 器 。 票 据 在 网 络 上 传送 时 ， 任 何在 网 上 禄 听 
的 人 都 无 法 阅读 或 修改 它 。 








表 24-1 Kerberos 的 缩写 


客户 (机 ) 
s He a at 
a 客户 的 网 络 地 址 
v 票据 的 有 效 起 止 时 间 
t 时 间 标 记 
K, x PN BS Be PR H 
Kj,， 25y 的 会 话 密 铀 
(mp K, 以 并 的 秘密 密 钥 加 蜜 的 7 
了 使 用 y 的 z 的 票据 
Ans KK x Bi y 的 鉴别 码 


Kerberos 鉴 别 码 的 格式 如 下 : 


Ac, ,={c, t key}K., , 





客户 在 每 次 需要 使 用 服务 器 上 的 服务 时 ， 都 要 产生 一 个 鉴别 码 。 该 
鉴别 码 包 括 用 户 名 、 时 间 标 记 和 一 个 可 选 的 附加 会 话 密 钥 ， 它 们 用 服务 
eae PSN hee. SRA ANE, BAER He 














ae 


(Ro FAM, ETAN BY DAR Ge m Ber" AES aS CERERE a A 
HH) ， 所 以 这 是 没有 问题 的 。 


鉴别 码 可 达到 两 个 目的 : 首先 ， 它 包括 一 些 以 会 话 密 钥 加 密 的 明 
文 ， 这 表明 鉴别 码 的 发 送 者 也 知道 密 钥 。 更 重要 的 是 ， 加 封 的 明文 包括 
时 间 标 记 ， 即 使 记录 票据 和 鉴别 码 的 贸 听 者 在 两 天 后 也 无 法 重 放 它 们 。 





24.5.4 Kerberos 第 5 版 消息 


Kerberos 第 5 版 有 5 个 消息 〈 见 图 24-1) : 





(1) 客户 到 Kerberos: c，tgs。 

(2) Kerberos 到 客户 : {Ke, tgs }Ke, {Te, tgs }Kigs 。 
(3) Ze SIGS: AR 
(4) TGS 到 客户 : {Kc, st Ke, tgs» {Te, s }Ks o 
(5) 客户 到 服务 器 : {Ao s }Ke, s> {Ty s IKs » 


下 面 将 详细 讨论 它们 。 


24.5.5 ”最初 票据 的 获取 


客户 拥有 一 个 能 证 明 其 身份 的 信息 : 口令 。 显 然 我 们 并 不 希望 客户 
在 网 络 上 传送 其 口令 。Kerberos 协 议 将 口令 泄露 的 风险 降 至 最 低 ， 同 时 
不 允许 客户 在 不 知道 口令 的 情况 下 鉴别 自己 的 身份 。 





客户 给 Kerberos 鉴 别 服 务 器 发 送 一 个 消息 ， 该 消息 包括 客户 名 及 其 
TGS 服务 器 名 (TGS 服务 器 可 以 有 多 个 ) 。 在 实际 中 ， 客 户 一 般 只 是 将 
其 名 字 输 入 系统 ， 注 册 程 序 发 送 该 请 求 。 


Kerberos 鉴 别 服务 器 在 其 数据 库 中 查找 客户 。 如 果 客 户 在 数据 库 
中 ，Kerberos 便 产生 一 个 在 客户 和 TGS 之 间 使 用 的 会 话 密 钥 ， 这 叫做 票 
据 许 可 票据 (Ticket Granting Ticket, TGT) 。Kerberos 利 用 客户 的 秘密 
密 钥 加 密会 话 密 钥 。 然 后 为 客户 产生 一 个 TGT 向 TGS 证 实 她 的 身份 ， 并 
用 TGS 的 秘密 密 钥 对 其 加 密 。 鉴 别 服务 器 将 这 两 种 加 密 的 消息 发 送 给 客 
P 





客户 解密 第 一 个 消息 ， 并 恢复 会 话 密 钥 。 秘 密 密 钥 是 客户 口令 的 单 
问 散 列 冰 数 ， 因 此 合法 客户 可 以 很 方便 地 实施 解密 。 如 果 客 户 是 一 个 冒 
名 顶 丛 的 骗子 ， 他 由 于 不 知道 正确 的 口令 ， 所 以 无 法 解密 Kerberos 鉴 别 
服务 器 发 来 的 响应 消息 。 系 统 将 拒绝 其 访问 ， 他 便 无 法 获得 票据 或 会 话 
AAA 








客户 将 TGT 和 会 话 密 钥 保存 ， 并 销毁 口令 和 单 癌 散 列 图 数 ， 以 减 小 
涝 密 的 机 会 。 如 果 收 人 能 够 复制 客户 的 存储 器 ， 他 仅仅 得 到 TGT 和 会 话 


密 钥 ， 这 些 有 价值 的 信息 只 有 在 TGT 的 有 效 期 内 才 有 用 。 一 旦 TGT 过 
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客户 现在 可 在 TGT 的 有 效 期 内 癌 TGS 证 实 她 的 身份 。 


24.5.6 ”服务 器 票据 的 获取 





客户 必须 为 她 想 使 用 的 每 一 项 业务 获得 不 同 的 票据。TGS 给 每 个 服 
Fo tis) ACE TE 





当 客 户 需 要 一 个 她 从 未 拥有 的 聚 据 时 ， 她 向 TGS 发 送 一 个 请 求 。 
(实际 上 ， 程 序 将 上 自动 完成 此 项 工作 ， 而 且 它 对 客户 来 说 是 隐 涪 的 。) 











TGS 接 收 到 请 求 后 ， 用 自己 的 秘密 密 钥 解密 此 TGT， 然 后 再 用 TGT 
中 的 会 话 密 钥 解密 鉴别 码 。 最 后 ，TGS 比 较 鉴别 码 中 的 信息 与 票据 中 的 
童 轧 、 客 户 的 网 络 地 址 与 发 送 的 请 求 地 址 ， 以 及 时 间 标 记 与 当前 时 间 。 
如 果 每 一 项 都 匹配 ， 便 允许 处 理 该 请 求 。 








念 查 时 间 标 记 假设 所 有 的 机 器 都 有 同步 时 钟 ， 至 少 在 几 分 钟 内 是 同 
步 。 如 果 请 求 中 的 时 间 与 未 来 或 过 去 部 相差 太 远 ， 那 么 TGS 把 该 请 求 当 
做 以 前 请 求 的 重 放 。 因 为 过 去 请 求 的 时 间 标 记 可 能 仍然 有 效 ， 所 以 TGS 
也 应 保留 所 有 有 效 的 鉴别 码 记录 。 与 已 收 到 的 请 求 具 有 相同 票据 和 时 间 
标记 的 请 求 则 被 忽略 。 

















TGS 通过 将 客户 有 效 的 票据 返回 给 服务 器 的 方式 来 啊 应 一 个 有 效 请 
求 。ITGS 还 为 客户 和 服务 器 产生 一 个 新 的 会 话 密 钥 ， 此 密 钥 由 客户 和 
TGS 共 至 的 会 话 密 钥 加 密 。 然 后 将 这 两 种 消息 返回 给 客 尸 。 客 户 解密 消 
电 ， 同 时 得 到 会 话 密 钥 。 


24.5.7 ”服务 请 求 


现在 客户 癌 服 务 器 鉴别 目 己 的 身份 。 她 产生 一 个 与 传送 给 TGS 非常 
类 似 的 消 轧 《因为 从 本 质 上 来 说 ，TGS 是 一 个 服务 器 ) 。 


客户 产生 一 个 鉴别 码 ， 鉴 别 码 由 客户 名 、 客 户 网 络 地 址 和 时 间 标 记 
组 成 ， 用 TGS 为 客户 和 服务 器 产生 的 会 话 密 钥 加 密 得 到 。 请 求 由 从 
Kerberos 接 收 到 的 票据 〈 已 用 服务 器 的 秘密 密 钥 加 密 ) 和 加 密 的 鉴别 码 
组 成 。 


如 前 面 讨论 的 那样 ， 服 务 器 解密 并 检查 票据 和 鉴别 码 ， 以 及 客户 地 
址 和 时 间 标 记 。 当 一 切 检查 无 误 后 ， 根 据 Kerberos， 服 务 器 可 知 该 客户 
征 不 是 她 所 宣称 的 那个 人 。 





青 要 相互 鉴别 的 应 用 中 ， 服 务 露 给 客户 返回 一 个 包含 时 间 标 记 的 
消息 由 会 话 密 钥 加 密 。 这 证 明 服 务 喜 知道 客户 的 秘密 密 钥 而 且 


客户 和 服务 器 可 以 用 共享 的 密 钥 加 密 信息 。 由 于 只 有 他 们 共享 这 个 
密 钥 ， 所 以 他 们 都 能 猜测 出 最 近 收 到 的 用 该 密 钥 加 密 的 消 妃 来 和 目 必 一 
Ti 


24.5.8 ”Kerberos 第 4 版 


前 一 节 讨 论 了 Kerberos 第 5 版 ，Kerberos 第 4 版 在 消息 、 票 据 和 鉴别 
RSA GR EWS AX Fl. 


在 第 4 版 中 ，5 种 消息 格式 如 下 : 

(1) 客户 到 Kerberos: c, tgs. 

(2) Kerberos 到 客户 : {Ke, tgs» {To tgs Kigs tKe 。 
(3) 客户 到 TGS: {Ae s Ke, tgs {To, tgs HKigs © 
(4) TGS 到 客户 : {Kc, s> {Tc, s }Ks Ke, tgs © 
(5) 客户 到 服务 器 : {Ao s HK. s> Te, s IKs 。 
Ta ey ee ay Wy ay We 


Au s={c, a, t}K,, $ 





消息 (1) 、 (3) 、(5) 在 两 个 版 本 中 都 是 相同 的 。 第 5 版 删除 了 


WS (2D 、 (4 中 的 票据 双重 加 密 。 第 5 版 的 票据 增加 了 多 重地 址 的 
功能 并 且 用 开始 和 结束 的 时 间 代 丛 有 效 时 间 ， 此 外 鉴别 码 增加 了 包括 一 
个 附加 密 钥 的 选项 。 


24.5.9 ”Kerberos 的 安全 性 


Steve Bellovin 和 Michael Merri 讨 论 了 Kerberos 中 几 个 洪 在 的 安全 弱 
点 108] 。 尽 管 该 文 写 的 是 第 4 版 协议 ， 但 许多 评价 也 适用 于 第 5 版 。 








旧 的 鉴别 码 很 有 可 能 被 存储 和 重用 。 尽 管 时 间 标 记 可 用 于 防止 这 种 
攻击 ， 但 在 票据 的 有 效 时 间 内 仍 可 发 生 重 用 。 假 设 服务 器 存储 所 有 的 有 
效 聚 据 以 阻止 重 放 ， 但 实际 上 这 很 难 做 到 。 和 票据 的 有 效 期 可 能 很 长 ， 典 
型 的 为 8 小 时 。 





鉴别 码 基 于 这 样 一 个 事实 ， 即 网 络 中 的 所 有 时 钟 基本 上 是 同步 的 。 
WR AE SEAL, BERNIE RIN TA AAR PRR, ABA IA SE Sie CE Il 
能 被 重 放 。 大 多 数 的 网 络 时 间 协 议 是 不 安全 的 ， 因 此 这 可 能 导致 严重 的 


问题 。 

Kerberos 对 猜测 口令 攻击 也 很 脆弱 。 攻 击 者 可 以 收集 票据 并 试图 破 
译 它 们 。 一 般 的 客户 通常 很 难 选择 到 最 佳 口 令 。 如 果 Mallory 收 集 了 足 
够 多 的 票据 ， 他 就 有 很 大 的 机 会 找到 口令 。 


最 严重 的 攻击 可 能 是 恶意 软件 。Kerberos 协 议 依 赖 于 Kerberos 软 件 
都 是 可 信 的 这 一 事实 。 没 什么 可 以 阻止 Mallory 用 完成 Kerberos 协 议和 记 
录 口 令 的 软件 来 代替 所 有 客户 的 Kerberos 软 件 。 任 何 一 种 安装 在 不 安全 
的 计算 机 中 的 密码 软件 都 会 面临 这 种 问题 ， 但 Kerberos 在 这 种 不 安全 环 
境 中 的 广泛 使 用 ， 使 它 特 别 容 易 成 为 被 攻击 的 目标 。 





加 强 Kerberos 的 工作 包括 执行 公开 密 钥 算法 和 密 钥 管理 中 的 智能 卡 
接口 。 


24.5.10 “许可 证 


Kerberos 是 非 公开 的 ， 但 是 MIT 的 源 代 码 是 公开 的 。 实 际 上 ， 在 
UNIX 坏 境 中 实现 这 些 代码 则 是 男 一 个 问题 。 有 多 家 公司 出 售 各 种 版 本 
的 Kerberos， 有 兴趣 获得 自由 版 本 的 机 构 可 与 下 述 地 址 联络 : 814 
University Ave., Palo Alto，CA，94301， 电 话 : (415) 322-3811， 传 





真 : (415) 322-3270. 


24.6 KryptoKnight 


KryptoKnight 是 由 IBM 公 司 设计 的 一 种 鉴别 和 密 钥 分 配 系 统 。 它 是 
一 种 秘密 密 钥 协议 并 使 用 了 DES 的 CBC 模 式 (参见 9.3 节 ) 或 MD5 的 增 
强 版 (参见 18.5 节 ) 。 


KryptoKnight 文 持 4 项 保密 业务 : 
用户 鉴别 〈 称 为 单个 签名 ) 。 
双方 鉴别 。 


BE AAP BC 


EÑ 


-数据 源 和 数据 内 容 的 鉴别 。 

从 用 户 角 度 看 ，KryptoKnight 类 似 于 Kerberos。 它 们 的 区 别 在 于 : 
KryptoKnight 采 用 单 向 散 列 函数 鉴别 和 加 密 票据 。 
KryptoKnight 不 依靠 同步 时 钟 ， 使 用 当前 时 间 〈 人 参见 3.3 节 ) 。 


:如果 Alice 想 与 Bob 通 信 ，KryptoKnight 有 选项 允许 Alice 传 送 一 条 消 
恩 给 Bob， 接 着 Bob 初 始 化 密 钥 交换 协议 。 


与 Kerberos 一 样 ，KryptoKnight 具 有 票据 和 鉴别 码 。KryptoKnight 也 
有 TGS， 但 是 它 通 过 鉴别 服务 器 调用 它们 。KryptoKnight 的 设计 者 花 了 
大 量 心血 使 消息 的 数量 、 消 息 的 长 度 和 加 密 的 数量 减 至 最 小 。 有 关 
KryptoKnight 和 其 协议 的 详细 情况 见 L1110、173、174、175] 。 








24.7 SESAME 


SESAME 代 表 欧 洲 安 全 多 环境 应 用 系统 (Secure European System 
for Application in Multivendor Environment) 。 这 是 一 个 欧洲 团体 安全 项 
目 ， 其 50% 的 资金 由 RACE (参见 25.7 节 ) 提供 。RACE 计 划 主 要 研究 分 
布 式 访问 控制 的 用 户 鉴 别 技 术 。SESAME 被 认为 是 一 种 欧洲 版 本 的 
Kerberos。 它 由 两 部 分 构成 : 第 一 部 分 是 一 个 基础 体系 原型 ， 第 二 部 分 
一 套 商 业 方案 。 研 究 开发 该 项 目的 3 个 最 大 的 公司 是 英国 的 ICL、 德 国 
的 西门 子 和 法 国 的 Bull。 





SESAME 是 一 个 鉴别 和 密 钥 交 换 系 统 [361 1248. 797, 1043] 。 它 在 
不 同 的 安全 领域 采用 Needham-Schroeder 协 议和 公开 密 钥 算法 通信 。? 
系统 在 菏 些 方面 有 严重 的 缺陷 。 它 使 用 一 个 64 位 密 钥 寞 或 代替 了 实时 加 
密 算法 。 更 糟 的 是 ， 在 CBC 模 式 中 采用 了 异 或 ， 这 使 一 半 的 明文 没有 被 
加 密 。 在 防御 方面 ， 一 直 计 划 采 用 DES 算 法 直到 法 国政 府 发 出 抱怨 。 它 
用 DES 加 密 代 码 ， 接 着 将 代码 公开 ， 而 望 人 们 解密 代码 并 将 它 





SESAME 中 的 鉴别 功能 并 不 在 整个 消息 而 是 在 第 一 个 消息 分 组 ， 其 
效果 是 仅 对 签名 的 DearSir 有 效 ， 但 对 信件 正文 部 分 无 效 。 密 钥 由 两 次 调 
用 UNIX 随 机 函数 产生 ， 但 它们 并 不 十 分 随机 。SESAME 采 用 crc32 和 
MD5 作 为 单 向 散 列 函数 。 它 与 Kerberos 一 样 易 受 口令 猜测 攻击 。 


24.8 IBM 通 用 密码 体系 


IBM 设 计 和 研制 了 通用 密码 体系 〈Cormmon Cryptographic 
Architecture, CCA) ， 它 为 机 密 性 、 完 整 性 、 密 钥 管理 、 个 人 身份 号 
(PIN) 处 理 提供 了 简单 密码 算法 [751、784、1025、1026、940、752] 。 密 铀 
通过 控制 向 量 (Control Vector, CV) 进行 管理 〈 参 见 8.5 节 ) 。 每 一 个 
密 钥 都 与 一 个 控制 向 量 异 或 ， 除 非 在 安全 的 硬件 设备 中 ， 否 则 密 钥 都 不 
会 脱离 控制 向 量 而 单独 存在 。CV 是 一 个 数据 结构 ， 提 供 对 与 特定 密 钥 
相关 特权 的 直观 理解 。 














CV 的 单个 位 被 具体 定义 为 使 用 和 人 处理 CCA 所 管理 的 每 个 密 钥 。CV 

过 在 数据 结构 中 称 为 密 钥 令 牌 的 加 密 密 钥 传输 。 内 部 密 钥 令 牌 仅仅 在 
本 地 使 用 ， 包 含 用 本 地 的 主 密 钥 (Master Key, MK) 加 密 的 密 钥 。 外 
部 密 钥 令 牌 应 用 于 系统 之 间 出 口 和 进口 的 加 密 密 钥 。 外 部 密 钥 令 牌 中 的 
密 钥 使 用 密 钥 加 密 密 钥 (KEK) 加密 。KEK 通 过 内 部 密 钥 令 牌 进行 管 
理 。 各 种 密 钥 按照 它们 的 使 用 范围 进行 隔离 





密 钥 长 度 同样 通过 CV 中 的 位 进行 详细 说 明和 控制 。 单 个 的 密 钥 长 
度 为 56 位 ， 它 用 于 诸如 加 密 和 消息 鉴别 的 功能 。 双 倍 的 密 钥 长 度 为 112 
位 ， 它 用 于 密 钥 管理 、PIN 功 能 和 其 他 一 些 特殊 用 处 。 密 钥 可 以 要 求 为 
只 是 双 倍 的 DOUBLE-ONLY) ， 其 左右 两 部 分 必须 不 同 ;或 者 双 倍 的 





(DOUBLE) ， 其 两 部 分 允许 相同 ， 或 者 单个 重复 的 《SINGLE 
REOLICATED) ， 其 左右 两 部 分 相同 ;或 者 单个 的 《SINGLE) ， 由 56 
位 组 成 。CCA 功 能 规定 对 某 些 操作 中 使 用 的 某 些 密 钥 类 型 采用 强制 的 硬 
件 形 式 。 


CV 通 过 保密 硬件 处 理 器 进行 检验 : 它 必须 使 每 一 个 CCA 功 能 与 允 
许 的 CCA 规 则 一 致 。 如 果 CV 成 功 地 通过 了 测试 要 求 ， 就 可 以 获得 一 个 
CV 与 KEK 或 MK 异 或 后 的 KEK 或 MK 的 变型 ， 且 明文 目标 密 钥 可 以 用 
CCA 功 能 恢复 供 内 部 使 用 。 当 新 的 密 钥 产生 后 ，CV 将 详细 说 明 产 生 的 
密 钥 用 途 。 那 些 可 能 用 于 攻击 系统 密 钥 类 型 的 组 合 将 不 产生 或 导入 CCA 
系统 中 。 


CCA 采 用 结合 公开 密 钥 算 法 和 秘密 密 钥 算法 的 密 钥 分 配方 法 。 密 角 
分 配 中 心 用 与 用 户 共 享 的 主 密 钥 加 密会 话 密 钥 。 主 密 钥 用 公开 密 钥 算法 
分 配 。 





系统 设计 者 采用 这 种 混合 方式 有 两 个 原因 。 其 一 是 性 能 ， 公 开 密 钥 
算法 的 计算 量 较 大 ， 如 果 会 话 密 钥 用 公开 密 钥 算法 分 配 ， 系 统 的 性 能 将 
降低 。 其 二 是 同 后 的 莱 容 性 ， 系 统 能 用 最 少 的 中 断 窗 冀 已 经 存在 的 秘密 
密 钥 表 。 








CCA 系 统 被 设计 为 可 以 互 操作 的 系统 。 对 于 某 些 与 CCA 不 兼容 的 系 
统 ， 控 制 向 量 转变 CCVXLT) 功能 允许 在 两 个 实现 间 传 递 密 钥 。 





CVXLT 功 能 的 初始 化 要 求 双重 控制 。 两 个 个 体 必 须 独立 建立 所 需 的 转 
化 表 。 这 种 双重 控制 在 系统 中 提供 了 高 度 可 靠 的 完整 性 和 密 钥 的 真实 
tE. 


系统 提供 了 数据 型 密 钥 与 其 他 系统 兼容 。 数 据 型 密 钥 与 CV 存 储 在 
一 起 ，CV 把 它 标 识 为 数据 型 密 钥 。 数 据 型 密 钥 可 以 广泛 使 用 ， 但 也 需 
提出 质疑 并 小 心 使 用 。 数 据 型 密 钥 不 可 以 用 于 任何 密 钥 管理 功能 。 


商业 数据 掩盖 设备 ‘CDMF) 是 CCA 的 一 种 出 口 版 本 。 它 的 特点 
是 : 为 了 出 口 ， 将 DES 密 钥 简 化 到 40 位 〈 参 见 15.5 节 ) [785] 。 


24.9 ISO 鉴别 框架 


建议 将 公开 密 钥 密码 学 与 ISO 鉴别 框架 一 起 使 用 ，ISO 鉴 别 框架 也 
称 为 X.509 协 议 “304」 。 此 框架 提供 了 网 间 鉴 别 功能 。 尽 管 没 有 为 鉴别 
或 安全 提 定 一 个 特别 的 算法 ， 但 建议 使 用 RSA， 当 然 还 可 选择 多 种 算法 
和 散 列 函数 。X.509 最 初 于 1988 年 公布 。 在 公开 讨论 后 ， 于 1993 年 做 了 


一 些 安全 问题 的 修正 [1100、 750] | 
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图 24-2 Xx.509 证 书 


24.9.1 ”证书 


X.509 中 最 重要 的 部 分 是 公开 密 钥 证 书 结构 。 每 一 个 用 户 有 一 个 各 
不 相同 的 名 字 。 一 个 可 信 的 证 书 机 构 CCA) 给 每 个 用 户 分 配 一 个 唯一 
的 名 字 并 签发 一 个 包含 名 字 和 用 户 公 开 密 钥 的 证 书 。 图 24-2 给 出 了 一 个 
X.509 证 书 1304] 。 





版 本 字段 用 于 识别 证 书 格式 。 序 列 号 在 CA 中 是 唯一 的 。 接 下 来 的 
字段 标识 了 用 来 对 证 书签 名 的 算法 ， 以 及 算法 所 需 的 参数 。 发 布 者 为 
CA 的 名 称 。 有 效 期 是 一 对 日 期 ， 证 书 在 这 段 日 期 内 有 效 。 主 体 为 用 户 
名 。 主 体 的 公开 密 钥 信息 包括 算法 名 称 、 需 要 的 参数 和 公开 密 钥 。 最 后 
一 个 字段 为 CA 的 签名 。 





如 果 Alice 想 和 Bob 通 信 ， 她 首先 必须 从 数据 库 中 取得 Bob 的 证 书 ， 
然后 对 它 进行 验证 。 如 果 他 们 使 用 相同 的 CA， 事 情 就 很 简单 ，Alice 只 
需 验 证 Bob 证 书 上 的 CA 签名 ; 如 果 他 们 使 用 不 同 的 CA， 问 题 就 复杂 
了 。 考 虑 一 种 由 不 同 的 CA 确认 其 他 CA 和 用 户 的 树 形 结构 ， 顶 部 是 一 个 
主 CA。 每 个 CA 存放 从 它 上 一 级 CA 获取 的 证 书 和 由 上 级 CA 签发 的 所 有 
证 书 。Alice 和 Bob 必 须 回调 证 书 树 以 寻找 共同 信任 的 点 。 


Alice 


Bob 


图 24-3 证书 层次 实例 


图 24-3 给 出 了 上 述 过 程 。Alice 的 证 书 由 CAA 签发 ，Bob 的 证 书 由 
CAp 签发 。Alice 知 道 CAA 的 公开 密 钥 。CAc 持 有 由 CAA 签发 的 证 书 ， 
Alice 可 以 验证 证 书 的 有 效 性 。CAc 的 证 书 由 CADp 签发 ，CAB 的 证 书 也 
由 CAp 签 及 ， 因 此 CAp 是 一 个 双方 都 信任 的 点 。Alice 可 以 通过 沿 着 证 
书 树 找到 CAp 来 验证 Bob 的 证 书 。 


证 书 可 以 存储 在 网 络 上 的 数据 库 中 。 用 户 可 以 利用 网 络 彼此 交换 证 
书 。 妆 证 书 撤销 后 ， 它 将 从 公共 目录 中 删除 。 然 而 签 友 此 证 书 的 CA 仍 
保留 此 证 书 的 副本 ， 以 备 日 后 解决 可 能 引起 的 纠纷 。 


如 果 用 户 的 密 钥 或 CA 的 密 钥 被 破坏 ， 或 者 CA 不 再 对 用 户 进 行 验 
证 ， 都 可 能 导致 证 书 的 撤销 。 每 一 个 CA 必须 保留 一 个 已 经 撤销 但 还 没 
有 过 期 的 证 书 列表 。 当 Alice 收 到 一 个 新 证 书 时 ， 首 先 应 该 检查 证 书 是 售 
己 经 撤销 。 她 能 在 网 络 上 检查 失效 密 钥 数据 库 ， 但 更 可 能 是 检查 本 地 失 
效 证 书 列表 。 该 系统 可 能 被 滥用 ， 密 钥 撤 销 可 能 是 它 最 薄弱 的 环 市 。 











24.9.2 ”鉴别 协议 


Alice 想 与 Bob 通 信 时 ， 她 首先 查找 数据 库 并 得 到 一 个 从 Alice 到 Bob 
的 证 书 路 径 (certification path) 和 Bob 的 公开 密 钥 。 这 时 Alice 可 使 用 单 
Eh MC fa] B= fay HW 





单 问 协议 是 从 Alice 到 Bob 的 单 向 通信 。 它 建立 Alice 和 Bob 双 方 身 份 
的 证 明 以 及 从 Alice 到 Bob 的 任何 通信 信息 的 完整 性 。 它 还 可 防止 通信 过 
程 中 的 任何 重 放 攻 击 。 





双 回 协议 与 单 同 协议 类 似 ， 但 它 增加 了 来 自 Bob 的 应 答 。 它 保证 是 
Bob 而 不 是 冒名 者 发 送 来 的 应 答 。 它 还 保证 双方 通信 的 机 密 性 并 可 防止 
重 放 攻击 。 





单 问 和 双 回 协议 都 使 用 了 时 间 标 记 。 三 加 协议 增加 了 从 Alice 到 Bob 
的 另外 消息 ， 并 避免 使 用 时 间 标 记 《〈 用 鉴别 时 间 取 代 ) 。 





单 向 协议 如 下 : 
(1) Alice 产 生 一 个 随机 数 RA 。 


(2) Alice 构 造 一 条 消息 ，M= (Ta; Ry, Ip, d), HT, 是 
Alice 的 时 间 标 记 ， 是 Bob 的 身份 证 明 ，d 为 任意 的 一 条 数据 信息 。 为 
了 安全 ， 数 据 可 用 Bob 的 公开 密 钥 Ep 加 密 。 


(3) Alice 将 〈CA Da M) ) 发 送 给 Bob。 (Ca 为 Alice 的 证 
P, Da 为 Alice 的 私人 密 钥 。) 


(4) Bob 确认 CA 并 得 到 E。。 他 确认 这 些 密 钥 没有 过 期 (Es 为 
Alice 的 公开 密 钥 ) 。 


(5) Bob 用 EA 解密 DA (M) ， 这 样 既 证 明了 Alice 的 签名 又 证 明了 
所 签发 信息 的 完整 性 。 


(6) 为 了 准确 ，Bob 检 查 M 中 的 1s 。 





(7) Bob 检 查 M 中 的 TA 以 证 实 消 妃 是 刚 发 来 的 。 


(8) 作为 一 个 可 选项 ，Bob 对 照旧 随机 数 数 据 库 检 查 M 中 的 RA 以 
确保 消息 不 是 旧 消 恩 重 放 。 











双 辐 协议 包括 一 个 单 癌 协议 和 一 个 从 Bob 到 Alice 的 类 似 的 单 癌 协 
议 。 除 了 完成 单 向 协议 的 第 G) ~ (8) 步 外 ， 双 同 协 议 还 包括 : 


(9) Bob 产 生男 一 个 随机 数 Rp 。 


(10) Bob 构 造 一 条 消息 M'= (Tg, Rg» Ia; Ra» d), HHT, 
是 Bob 的 时 间 标 记 ，Ih 是 Alice 的 号 份 ，d 为 任意 的 数据 。 为 了 确保 安 
全 ， 可 用 Alice 的 公开 密 钥 对 数据 加 密 。RA 是 Alice 在 第 (1) 步 中 产生 
的 随机 数 。 





(11) Bob 将 D8 (M') 发 送 给 Alice。 


(12) Alice 用 Es 解密 Dp (MO) ， 以 确认 Bob 的 签名 和 消息 的 完整 


(13) 为 了 准确 ，Alice 检 查 M' 中 的 IA 。 





(14) Alice 检 查 M' 中 的 Te ， 并 证 实 消 息 是 刚 发 送 来 的 。 


(15) 作为 可 选项 ，Alice 可 检查 M' 中 的 Re 以 确保 消息 不 是 重 放 的 
HVA 





三 同 协 议 完成 双 同 协议 的 工作 ， 但 没有 时 间 标 记 。 当 TA Tp =0 
时 ， 从 第 (1) ~ (15) 步 与 双向 协议 相同 。 


(16) Alice 对 照 第 (3) 步 中 他 发 送 给 Bob 的 RA 检查 接收 到 的 RA 


(17) Alice 将 D、 (Rp ) 发 送 给 Bob。 


(18) Bob 用 En 解密 DA (Rp) ， 这 样 可 证 明 Alice 的 签名 和 消息 的 


PE 


d} 


(19) Bob 对 照 他 在 第 (10) 步 中 发 送 给 Alice 的 Re 检查 他 接收 到 


的 Rs 。 


24.10 ”保密 性 增强 邮件 


保密 性 增强 邮件 (Privacy-Enhanced Mail, PEM) 是 因特网 保密 性 
增强 邮件 标准 。 由 因特网 结构 委员 会 (IAB) 采用 ， 在 因特网 上 提供 保 
密 电 子 邮件 。 它 最 初 由 因特网 研究 特别 工作 队 ORTF) 的 保密 和 安全 研 
究 组 (PSRG) 设计 ， 然 后 提交 给 因特网 工程 特别 工作 组 〈IETF) 的 
PEM 研 究 组 。PEM 协 议 提 供 了 加 密 、 鉴 别 、 消 息 完整 性 和 密 钥 管理 功 





au 
HE o 


完整 的 PEM 协 议 最 初出 现在 RFC 系 列 文件 中 197, KTE 
[978] 。 在 文献 [177、178] 中 第 三 次 总 结 了 这 个 协议 [979 827. 980] 
。 协 议 经 不 断 修 改 和 完善 ， 最 终 协 议 详 述 在 另 一 系列 的 RFC 文 件 中 
[981、825、76、802」 。 Matthew Bishop 在 文献 [179] 中 详细 介绍 了 这 些 
变化 。 其 他 试图 实现 PEM 的 论文 还 有 [602、1505、1522、74、351、 
1366, 1367. 1394] . 


PEM 是 一 个 内 容 丰 富 的 标准 。PEM 的 程序 和 协议 考虑 了 与 多 种 密 角 
管理 方式 的 兼容 ， 其 中 包括 用 于 加 密 数 据 加 密 密 钥 的 对 称 和 公开 密 钥 方 
案 。 对 称 密码 学 用 于 消息 文本 加 密 。 密 码 散 列 算法 用 于 消息 完整 性 。 另 
一 些 文档 支持 利用 公开 蜜 钥 证 书 的 密 钥 管理 机 制 、 算 法 、 格 式 和 相关 标 
识 以 及 为 文 持 这 些 业 务 建 立 的 密 钥 管理 基础 结构 的 电子 格式 和 程序 。 


PEM 仅 支持 少数 算法 ， 但 允许 在 后 来 使 用 不 同 的 算法 。 消 息 用 DES 
的 CBC 方 式 加 密 。 由 消息 完整 性 检查 (Message Integrity Check, MIC) 
提供 的 鉴别 使 用 了 MD2 或 MD5。 对 称 密 钥 管理 可 使 用 ECB 方 式 的 DES， 
也 可 使 用 两 个 密 钥 的 三 重 DES〈 称 为 EDE 方 式 ) 。PEM 还 支持 用 于 密 铀 
管理 的 公开 密 钥 证 书 ， 使 用 RSA 算 法 《〈 密 钥 长 度 为 1024 位 ) 和 X.509 标 
准 作为 证 书 结构 。 


PEM 提 供 3 项 保密 性 增强 业务 : 保密 性 、 鉴 别 和 消息 完整 性 。 这 些 
业务 在 电子 邮件 系统 上 没有 增加 特殊 的 处 理 要 求 。 PEM 可 在 不 影响 网 络 
其 余部 分 的 情况 下 ， 由 站 点 或 用 户 有 选择 性 地 加 入 。 





24.10.1 PEM 的 有 关 文 件 


PEM 文 件 有 4 种 : 


‘RFC 1421: 第 1 部 分 ， 消 息 加 密 和 鉴别 过 程 。 为 因特网 中 的 电子 邮 
件 传输 提供 保密 性 增强 邮件 业务 ， 此 文件 定义 了 消息 加 密 和 鉴别 过 程 。 


‘RFC 1422: 第 2 部 分 ， 基 于 证 书 的 密 钥 管理 。 此 文件 定义 了 基于 公 
开 密 钥 证 书 技术 的 密 钥 管理 体系 和 基础 结构 ， 为 消息 发 送 者 和 接收 者 提 
供 密 钥 信息 。 


‘RFC 1423: 第 3 部 分 ， 算 法 、 模 式 和 标识 。 此 文件 为 密码 算法 、 使 


用 模式 、 相 关 的 标识 和 参数 提供 了 定义 、 格 式 、 参 考 文献 和 引文 。 


‘RFC 1424: 第 4 部 分 ， 密 钥 证 书 和 相关 业务 。 此 文件 介绍 了 支持 
PEM 的 3 类 业务 : 密 钥 证 书 、 证 书 撤销 列表 (CRL) 存储 和 CRL 恢 复 。 


24.10.2 证书 


PEM 与 文献 [304] 中 介绍 的 鉴别 框架 相 兼 容 ， 也 可 见 文献 
[826] 。PEM 是 X.509 的 扩展 集 ， 它 为 将 来 与 其 他 协议 ( 源 自 TCO/IP 和 
OSI) 一 起 使 用 建立 了 密 钥 管理 基础 结构 的 过 程 和 规范 。 


密 钥 管理 基础 结构 为 所 有 的 因特网 证 书 建立 了 一 个 根 因特网 政策 
注册 机 构 (IPRA〉。IPRA 为 所 有 与 其 有 关 的 证 书 建立 了 一 个 全 球 性 的 
政策 。IPRA 根 的 下 一 级 是 政策 证 书 机 构 〈PCA) ， 每 一 个 机 构 都 为 注 
册 的 用 户 或 机 构建 立 和 发 布 其 政策 。 每 个 PCA 由 IPRA 签 证 。 在 PCA 的 下 
一 级 ，CA 对 用 户 和 下 属 机 构 〈 如 部 、 局 、 子 公司 等 ) 签证 。 最 初 ， 大 
多 数 用 户 都 希望 与 一 些 组 织 一 起 注册 。 





但 是 ， 也 有 一 些 用 户 和 希望 不 依赖 于 任何 机 构 而 独立 注册 ， 这 瓯 需要 
有 另外 的 一 些 PCA 为 其 提供 证 书 。 对 那些 希望 匿名 同时 又 想 利 用 PEM 保 
蜜 设施 的 用 户 ， 可 以 建立 一 个 或 多 个 PCA， 以 允许 不 想 泄 露 身 份 的 用 户 
注册 。 


24.10.3 PEM 的 消息 


PEM 的 核心 是 其 消息 格式 。 图 24-4 显 示 了 为 使 用 对 称 密 钥 管理 的 加 
密 消息 ， 图 24-5 显 示 了 为 使 用 公开 密 钥 管理 的 鉴别 和 加 密 消息 ， 图 24-6 
显示 了 为 使 用 公开 密 钥 密 钥 管理 的 鉴别 消息 (但 没有 加 密 〉。 


Proc-Type: 4,ENCRYPTED 
Content-Domain: RFC822 
DEK-Info: DES-CBC,F8143EDES960C597 
Originator-ID-Symmetric: schneier@counterpane.com,, 
Recipient-ID-Symmetric: schneier@chinet.com, ptf-kmc, 3 
Key-Info: 

DES -ECB, RSA-MD2 , 9FD3AAD2F2691B9A,B70665BB9BF7CBCDA60195DB94F727D3 


Recipient-ID-Symmetric: pem-dev@tis.com, ptf-kmc, 4 

Key-Info: 
DES -ECB, RSA-MD2,161A3F75DC82EF26, E2EF532C65CBCFF79F83A2658132DB47 
LLYrHBOeJzyhP+/£SStdW8o0keEnv47jxe7SJ/iN72o0hNcUk2 j HEUSOH1nvNSIWL9M 
8tEjmF/zxB+bATMt Pj CUWbz 8Lr9wloXIkjHULBLpvxROUrUzYbkNpk0agv2IzUpk 
J6UiRRGcDSvzrsoK+oNvqu6éz7Xs5Xfz5rDqUcM1K126720dcBWGGsDLpTpSCnpot 

dXd/H5LMDWnonNvPCwQUHt == 








图 24-4 ARYA Se OM RT 


第 一 个 字段 是 Proc-Type， 它 标识 所 处 理 消 息 的 类 型 。 有 3 种 可 能 
型 的 消息 。ENCRYPTED 指 出 消 轧 是 已 加 密 和 鉴 名 的 。MIC-ONLY 和 
MIC-CLERA 指 出 消息 已 签名 但 未 加 密 。 其 中 MIC-CLEAR 表 明 消 息 未 编 
码 ， 可 用 非 PEM 软 件 阅读 。 而 MIC-ONLY 需 要 用 PEM 软 件 转换 成 可 读 的 
形式 。PEM 消 息 都 要 求 签名 ， 但 加 密 与 否 可 供 选 择 。 











下 一 个 字段 Comtent-Domain， 它 说 明 邮 件 消息 的 类 型 。 它 与 安全 无 


关 。DEK-Info 字 段 说 明了 与 数据 交换 密 铀 (Data Exchange Key, 

DEK) 相关 的 信息 ， 即 用 于 加 密 文本 的 加 密 算 法 以 及 与 加 密 算 法 有 关 的 
所 有 参数 。 目 前 只 使 用 了 一 种 模式 : DES 的 CBC 模 式 〈( 用 DES-CBC 表 
示 ) 。 第 二 个 子 字段 规定 了 初始 向 量 AV) 。 将 来 PEM 还 可 能 使 用 另外 
一 些 算法 ， 它 们 的 使 用 方法 将 在 DEK-Info 和 标识 算法 的 另 一 些 字段 中 说 
明 。 


对 那些 使 用 对 称 密 钼 管理 的 消息 〈 见 图 24-4) ， 下 一 个 字段 是 
Originator-ID-Symmertic。 它 有 3 个 子 字段 。 第 一 个 子 字段 定义 了 唯一 的 
电子 邮件 地 址 的 发 送 者 。 第 二 个 是 可 选项 ， 用 于 标识 发 布 相互 交换 密 钥 
的 机 构 。 第 3 个 字段 是 可 选 的 版 本 /有 效 期 。 








继续 讨论 对 称 密 钥 管理 情况 ， 下 一 个 字段 与 接收 者 有 关 。 每 个 接收 
者 有 两 个 字段 Recipi-ent-ID-Symmetric 和 Key-Info。 前 者 有 3 个 子 字 
段 ， 它 用 与 Originator-ID-Symmetric 证 明 发 送 者 同样 的 方法 来 鉴定 接收 
T 





Key-Info 字 段 定义 了 密 钥 管理 的 参数 。 此 字段 有 4 个 子 字 段 ， 第 一 个 
子 字段 指出 了 用 于 加 密 DEK 的 算法 ， 因 为 消息 中 的 密 钥 管 理 是 对 称 的 ， 
所 以 发 送 者 和 接收 者 必须 共享 一 个 密 钥 ， 即 相互 交换 密 钥 interchange 
Key, IK) ， 用 于 加 密 DEK。DEK 可 用 DES 的 ECB 模 式 〈( 用 DES-ECB 表 
示 ) 或 3 重 DES (用 DES-EIS 表 示 〉 加密 。 第 二 个 子 字段 指出 了 MIC 算 


法 。 它 可 以 是 MD2 ( 记 为 RSA-MD2) 或 MD5 ( 记 为 RSA-MD5) 。 第 三 


个 子 字 有 段 症 用 开 加 密 的 DEK。 第 四 个 子 字 段 是 用 IK 加 密 的 MIC。 


图 24-5 和 图 24-6 显 示 了 公开 密 钥 密 钥 管理 的 消息 (在 PEM 术 语 中 也 
称 为 非 对 称 ) 。 首 字段 不 同 。 在 加 密 后 的 消息 中 ，DEK-Info 字 段 后 是 
Originator-Certificate 字 段 。 证 书 遵 从 X.509 标 准 〈 参 见 24.9 节 ) 。 下 一 字 
段 是 Key-Info， 它 有 两 个 子 字段 。 第 一 个 指出 了 用 于 加 密 DEK 的 公开 密 
钥 算 法 ， 目 前 只 使 用 了 RSA。 第 二 个 是 用 发 送 者 的 公开 密 钥 加 密 的 
DEK。 这 是 一 个 可 选项 ， 目 的 是 让 发 送 者 在 消息 通过 邮件 系统 返回 时 进 
行 解密 。 再 下 一 个 字段 Issuer-Certificate 是 对 Originator-Certificate 签 名 的 
机 构 的 证 书 。 


Proc-Type: 4,ENCRYPTED 
Content-Domain: RFC822 
DEK-Info: DES-CBC, BFF968AA74691AC1 
Originator-Certificate: 
MIIB1TCCAScCAWUWDOYJIKoZ IhvcNAQECBQAWUTELMAKGA1UEBHMCVVMxIDAeBaNv 
BAoTFLUTQSBEYXRHIFNLY3VyaxXR5 LCBUbmMuMQ8 wDOYDVQOLEwZCZXRhIDEXDZAN 
BaNVBASTBK5 PVEFSWTAe Fw0 SMTASMDQxODM4MTdaFw0 5SMZASMDMxODM4MTZaMEUx 
CZAJBGNVBAYTA1VTMSAwHg YDVOQKExdSUDEGRGFOYSBTZWNicm10eSwgSW5jLjEU 
MBIGA1UEAXMLVGVzdCBVc2Vy IDEWWTAKBGRVCAEBAGICAANLADBTAKEAWHZH17i+ 
ydcqDt j JCowzTdBJrdAiLAnSC+CnnjOJELyuQiBgkGrgIh3j8/x0fM+YrsyFlu3F 
LZPVt zlndhYFIQIDAQABMA0DGCSqGS I b3DQEBAGUAALKACKr 0 PqphJYw1j+YPtcIq 
iW1FPuN5jJ79Khf£g7ASFxskYkEMj}RNZV/HZDZQEht VaU 70x zs2w£X5byMp2X3U/ 
5XUXGx7 qusDgHQGs7Jk 9W8CW1 fuSWUgN4w== 
Key-Info: RSA, 
I3rRIGKUGWAFS8j s5wCzRTkdhO34 PTHdGRZY 9Tuvm03M+NM7 fF xéqceS5udixps2Lng0+ 
wGrtiUm/ovtKdinz6Z0/aQ== 
Issuer-Certificate: 
MI IB3DCCAUgCAQowDOYJKoZ IhvcNAQECBOAwTzZELMAKGA1UEBhMCVVMxIDAeBgNV 
BAoTF1IJTOSBEYXRhHIFN1LY3VyaXR5LCBJbmMuMQ8 wDOYDVOOLEwZCZXRhIDEXDTAL 
BoNVBASTBFRMOOEwWHhcNOTEwOTAxMDgwMDAWWhcNOT IwOTAxMDc LOTU5W7j BRMOsw 
COYDVQQGEwJIVUZEGMB4GA1UEChMXULNBIERhdGEgU2V) dxXJpdHksIBluYy4xDzAN 
BgNVBASTBkJ1dGEQMTEPMAOGA1UECXMGTk9UQVJ ZMHAwCqYEVOGBAOICArwDYgAw 
XwJYCsnp61Q0CxYykN1lODwut F/ jMJ3kL+3PjYyHOwk+/9rLg6X65B/LD4bJHtO5xXW 
eqAz/7R7Xhj YCmOPcqbdadzoACZtILETrKrcJiDYoP+DkZ8k1gCk7hQHpbIwIDAQAB 
MAOGCSqGS Ib3 DQEBAgUAA3 BAAICPv4£9Gx/tY4+p+4DB7MV+tKZnvBoy8 zgoMGOx 
dD24jMZ/3HsyWKWgSF0eH/AJB3qr9z08G4 7pyMnTf3aSy2nBO7CMxpUWRBCXUpE+x 
EREZd9++320f£GBIXaialnOgVUn0O0zSYgugiQ07 7nJLDUJ OhQehCizEsSwUJ35a5h 
MIC-Info: RSA-MDS,RSA, 
UdFJR8u/TIGh£H65ieewe210W4tooa3vZCvVNGBZirt /7nrgzWDABz8w9NsxSexv 
Aj) RFbHONPzBuxwmOAFeA0HIszL4yBvhG 
Recipient-ID-Asymmetric: 
MFExCzAJBoGNVBAYTAI1 VIMSAWHg YDVQQKEXdSU0EGRGFOYSBTZWN1cm1 0eSwagSW5 j 
Lj EPMAOGALUECXMGOmV0YSAxMQ8wDOYDVQOLEwZOTIRBULk=, 
66 
Key-Info: RSA, 
O6BS1ww9CTyHPtS3bMLD+LOhe)j dvX6Qv1lHK2ds2sQPEaxhxX8EhvVphHYTj wekdwWv 
7x0Z3Ix2vTAhOYHMcqqCjA== 
geW1j /YJ2U£Sng9yznPbt DOmY lLoSwIluV9FRYx+gzY+8iXd/NOQrxXHfi6/MhPE£PF3d 
j IqcJAxvld2xqqQimUzoSla4r7kOQ5e/Iua4Lqkeq3ciFzEv/MbZhA== 
END PRIVACY-ENHANCED MESSAGE 





图 24-5 封装 消息 实例 〈 非 对 称 情况 ) 


继续 非 对 称 密 钥 管理 的 情况 ， 下 一 个 字段 是 MEC-Info。 第 一 个 子 字 


段 指 出 计算 MIC 的 算法 。 第 二 个 指出 对 MIC 签 名 的 算法 。 第 三 个 是 用 发 
送 者 的 私人 密 钥 签名 的 MIC 。 


Proc-Type: 4,MIC-ONLY 

Content-Domain: RFC822 

Originator-Certificate: 
MIIB1TCCAScCAWUWDQYJ KoZ IhvcNAQECBQAWUTELMAkGA1UEBhMCVVMxIDAeBgNV 
BAOTF1JTQOSBEYXRHIFNLY3VyaxRSLCBUbDmMMuMQ8wDOYDVOQLEWZCZXRhHIDEXDZAN 
BGNVBASTBkK5 PVEFSWTAeFw0 SMTASMDOxODM4MTdaFw0 5MZAS5MDMxODM4MTZaMEUX 
CzAJBgNVBAYTA1 VTMSAWHGYDVOQKEXxdSU0EGRGFOYSBTZWNicm1 0eSwgSW5jLjEU 
MBIGA1UEAxMLVGVzdCBVc2Vy 1 DEwWTAKBgGRVCAEBAgI CAANLADBIAkKEAwWHZH17i+ 
yJceqDt j JcowzTdBUrdAiLAnSC+CnnjOJELyuQiBgkGrgIih3j8/x0fM+YrsyFlu3F 
LZPVtzlndhYFJQIDAQABMA0GCSqgGS Ib3 DOEBAGUAALKACKr0PqphJYw1j+YPtclg 
iW1FPuN5jJ79Khfg7ASFxskYkEMjRNZV/HZDZQEht VaU7Jxfzs2wfX5byMp2X3U/ 

SXUXGx7qusDgHOGs7Jk9W8CW1 £EuSWUGN4w== 

Issuer-Certificate: 
MI IB3DCCAUGCAQowDQOYU KoZ ThvcNAQECBQAwT zELMAkGA1UEBhMCVVMxIDAeBGNV 
BAOTFIJTQSBEYXRHIFN1LY3VyaxXR5LCBJbmMuMQ8 wDOYDVQOQLEWZCZXRHIDEXDTAL 
BgNVBASTBFRMQOEwHhcNOTEWOTAxMDgwMDAWWhcNOTIWOTAxMDc10TUS5Wj BRMOsw 
COYDVOQGEWJVUzEGMB4GA1UEChMXULNBIERHAGEGU2V7j dxJpdHksIEluYy4xDzAN 
BgNVBASTBkJ 1dGEGMTEPMA0NGA1UECxMGTk 9UQVJIZMHAwWCgGYEVQGBAQICArwDYgAw 
XwJYCsnp61QCxYykN1ODwut F/ jMJ3kL+3PjYyHOwk+/9rLg6X65B/LD4bJHtO5xXW 
cgAz/7R7Xhj YCm0PcqbdzoACZtIlLETrKrcJiDYoP+DkZ8k1gCk7hQHpbIwIDAQAB 
MAOGCSqGS Ib3 DOEBAgUAA3 BAAICPv4£9Gx/tY4+p+4DB7MV+tKZnvBoy8 zgoMGOx 
dD2jMZ/3HsyWKWgSF0eH/AJB3qr9z0sG4 7pyMnTf£ 3aSy2nBO7CMxpUWRBCKUpE+x 
EREZd9++320fGBIXaialnOqgvUn00zSYqugiQ077nJLDUJ OhQehCizEs5wUJ35a5h 

MIC-Info: RSA-MD5,RSA, 
j V20fH+nnXHU8bnL8kPAad/mSQ1TDZ1bVuxvZAOVRZ5q5+Ej 15bQvqNeqOUNQ)j r6 

EtE7K2QDeVMCyXsdJ1A8fA== 
LSBBIG11c3NhZ2UgZm9yIHVzZZSBpbiBO ZXNOaWSnLgOKLSBGb2xsb3dpbmcgaxMg 

YSBibGFuayBsaW5 1O0g0KDOQpUaG1zIG1zIHRoZSB1bmQuDQo= 

END PRIVACY-ENHANCED MESSAGE 








24-6 ”封装 MIC-ONLY 消 息 实例 〈 非 对 称 情 况 





仍然 继续 讨论 非 对 称 密 钥 管理 ， 下 一 个 字段 是 关于 接收 者 的 。 每 个 
接收 者 有 两 个 字段 : Recipient-ID-Asymmetric 和 Key-Info。Recipient-ID- 
Asymmetric 有 两 个 子 字 段 。 第 一 个 指出 发 布 接收 者 公开 密 钥 的 机 构 。 


二 个 是 可 选 的 版 本 /有 效 期 子 字段 。Key-Info 指 出 了 密 钥 管理 参数 。 第 一 
个 子 字段 指出 了 用 于 加 密 消息 的 算法 。 第 二 个 是 用 接收 者 的 公开 密 钥 加 
密 的 EEK。 





24.10.4 PEM 的 安全 性 


PEM 中 RSA 密 钥 长 度 为 508 一 1024 位 ， 这 种 长 度 对 任何 人 的 安全 需 
求 来 说 都 是 足够 的 。 最 可 能 的 攻击 是 破坏 密 钥 管理 协议 。Mallory 可 能 
会 偷 走 你 的 私人 密 钥 (所 以 千 万 别 把 它 随 意 地 写 下 来 ) 或 试图 欺骗 你 接 
收 一 个 伪造 的 公开 和 密 钥 。 如 果 每 个 人 都 遵循 正确 的 程序 ，PEM 的 密 钥 证 
书 规定 将 避免 上 述 情况 的 发 生 。 但 人 们 一 般 都 很 粗心 。 








一 个 更 隐蔽 的 攻击 是 Mallory 可 能 修改 系统 中 运行 的 PEM 的 执行 过 
程 。 修 改过 的 执行 过 程 可 使 你 的 邮件 用 Mallory 的 公开 密 钥 加 密 后 发 送 
给 他 ， 它 甚至 将 你 的 私人 密 钥 的 副本 发 送 给 他 。 如 果 修 改过 的 执行 过 程 
运行 得 很 好 ， 那 么 你 将 永远 不 知道 这 种 攻击 的 存在 。 








还 没有 真正 有 效 的 方法 来 防止 这 种 攻击 。 你 可 以 用 单 向 散 列 函数 和 
给 PEM 代 码 印 指纹 。 这 样 每 次 运行 时 ， 通 过 检查 指纹 来 判断 是 否 修改 。 
但 Mallory 可 能 在 他 修改 PEM 代 码 的 同时 修改 指纹 代码 。 你 可 以 在 指纹 
代码 上 再 做 指纹 ， 但 Mallory 也 可 以 修改 它 。 如 果 Mallory 能 进入 你 的 机 
器 ， 他 完全 可 以 破坏 PEM 的 安全 。 














一 般 来 说 ， 如 果 你 不 能 信任 运行 软件 的 茶 种 人 硬件， 你 也 不 能 真正 信 
任 运 行 的 软件 。 对 于 大 多 数 人 ， 这 种 偏见 是 不 必要 的 ， 但 有 时 却 是 正确 
的 。 


24.10.5 TIS/PEM 


由 美国 政府 高 级 研究 计划 局 提供 部 分 资助 的 可 信 信 息 系统 (Trusted 
Information System, TIS) 也 设计 并 实现 了 一 种 保密 性 增强 邮件 PEM 的 
参考 模型 CTIS/PEM) ， 此 模型 为 基于 UNIX 的 操作 平台 而 开发 的 ， 但 
同样 支持 VMS、DOS 和 Windows。 


尽管 PEM 说 明 书 介绍 了 因特网 采用 的 一 个 单一 证 书 层次 ， 但 
TIS/PEM 可 文 持 多 证 书 层次 。 站 点 可 以 指出 一 系列 被 认为 是 有 效 的 证 
书 ， 并 包括 所 有 由 他 们 签发 的 证 书 。 另 外 ， 为 了 使 用 TIE/PEM， 不 需要 
将 站 点 加 入 因特网 中 。 


目前 TIS/PEM 己 被 广泛 提供 给 美国 和 加 拿 大 的 许多 机 构 和 公民 。 它 
将 以 源 代码 形式 分 发 。 有 兴趣 的 组 织 可 与 下 述 地 址 联络 : Privacy- 
Enhanced Mail, Trusted Infonmation Systems, Inc., 3060 Washington 
Road (Rte.97) ，Glenwood，MD 21738; 电话 : (301) 854-6889; 传 
真 : (301) 8545363; E-mail: pem-Info@tis.com 


24.10.6 RIPEM 





RIPEM 是 Mark Riordan 编 写 的 实现 PEM 协 议 的 程序 。 尽 管 技 术 是 不 
公开 的 ， 但 此 程序 可 公开 得 到 ， 并 可 由 个 人 和 非 商 业 组 织 免费 使 用 。 使 
用 许可 证 包括 在 文件 中 。 





但 它 的 代码 是 不 能 出 口 的 。 当 然 ， 美 国政 府 的 法 律 在 美国 之 外 并 不 
适用 ， 因 此 人 们 往往 忽视 出 口 条 例 。RIPEM 代 码 已 在 美国 之 外 发 现 ， 它 
已 在 世界 范围 内 使 用 。 仅 用 于 数字 签名 的 RIPEMV/SIG 可 以 出 口 。 





到 本 书写 作 时 ，RIPEM 还 没有 完全 实现 PEM 协 议 ， 也 没有 实现 对 鉴 
别 密 钥 的 证 书 。 


编写 RIPEM 之 前 ，Riordan 曾 编写 过 一 个 类 似 的 称 为 RPEM 的 程序 。 
它 试图 成 为 一 个 公开 的 电子 邮件 加 密 程 序 。 为 了 避免 出 现 专利 问题 ， 
Riordan 使 用 了 Rabin 的 算法 (参见 19.5 节 ) 。 公 开 密 钥 合 作 商 宣称 他 们 
的 专利 范围 足以 包括 公开 密 钥 加 密 的 所 有 领域 并 威胁 要 提出 上 诉 ， 
Riordan 只 好 停止 传播 该 程序 。 





RPEM 确 实 不 能 再 用 了 ， 因 为 它 与 RIPEM 不 兼容 。 既 然 RIPEM 在 公 
开 密 钥 合 作 商 的 同意 下 使 用 ， 自 然 没 有 理由 再 使 用 RPEM。 


24.11 消息 安全 协议 


消息 安全 协议 (Message Security Protocol, MSP) 是 军用 的 PEM 等 
效 协 议 ， 它 是 在 20 世 纪 80 年 代 后 期 在 安全 数据 网 络 系统 (SDNS) 项 目 
下 由 NSA 开 发 的 。MSP 是 一 个 用 于 保密 电子 邮件 与 X.400 兼 容 的 应 用 层 


协议 。 它 将 用 于 国防 部 计划 的 国防 消 恩 系统 (DMS) 网络 中 ， 用 于 对 消 
恩人 签名 和 加 密 。 


初级 消息 保密 协议 (PMSP) 用 于 “公开 但 敏感 ”的 消息 ， 它 是 一 种 
与 X.400 和 TCP/IP 一 起 使 用 的 MSP 版 本 ， 也 称 为 Mosaic。 


像 PEM 一 样 ，MSP 和 PMSP 的 软件 使 用 可 方便 地 设计 成 适应 各 种 保 
密 功 能 的 保密 算法 ， 其 功能 包括 签名 、 散 列 运算 和 加 密 。PMSP 将 与 
Capstone 心 片 一 起 工作 (参见 24.17 节 )〉。 


24.12 Pretty Good Privacy 


PGP (Pretty Good Privacy) 是 由 Philip Zimmermann 设 计 的 免费 保密 
电子 邮件 程序 [1652」 。 它 采用 IDEA 进 行 数据 加 密 ， 采 用 RSA (ZHK 
度 可 达 2047 位 ) 进行 密 钥 管理 和 数字 签名 ， 采 用 MD5 作 为 单身 散 列 函 
数 。 


PGP 的 随机 公开 密 钥 采用 概率 检验 器 ， 它 通过 测量 用 户 打 字 时 的 键 
得 等 待 时 间 得 到 初始 值 。PGP 采 用 ANSI X9.17 1] (参见 8.1 节 ) 方法 
产生 随机 的 IDEA 密 铀 ，PGP 中 用 对 称 算法 IDEA 佑 代 DES 算 法 ， 并 使 用 
经 过 散 列 运算 的 代 蔡 口令 来 加 密 用 户 的 私人 密 钥 。 





PGP 加 蜜 的 消息 具有 层次 性 的 安全 性 。 假 定 密 码 分 析 者 知道 接收 者 
的 密 钥 ID， 他 从 加 蜜 的 消 妃 中 仅 能 知道 接收 者 是 谁 。 如 有 果 消 轧 是 签名 
的 ， 接 收 者 只 有 在 解密 消 恩 后 方 知 对 此 消息 签名 的 人 。 此 方法 与 PEM 不 
同 的 是 : PEM 在 未 加 密 的 头 部 留 下 一 些 有 头发 送 者 、 接 收 者 和 消 妃 的 信 
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PGP 中 最 令 人 感 兴趣 的 是 密 钥 管理 中 的 分 发 方法 〈 人 参见 8.12 节 ) ， 
PGP 中 没有 密 钥 证 书 管理 机 构 ， 所 有 的 用 户 产生 并 分 发 他 们 目 己 的 公开 
密 钥 。 用 户 可 通过 相互 对 公开 密 钥 签名 以 创建 一 个 所 有 PGP 用 户 的 互联 
组 。 


例如 ，Alice 可 能 将 她 的 公开 密 钥 传 给 Bob。 由 于 Bob 认 识 Alice， 所 
以 在 Alice 的 公开 密 钥 上 签名 。 接 着 Bob 将 签名 的 密 钥 传 回 给 Alice， 同 时 
保留 副本 。 当 Alice 想 与 Carol 通 信 时 ，Alice 将 Bob 签 名 的 密 钥 副本 传 给 
Carol。Carol 可 能 在 某 个 时 候 已 经 得 到 了 Bob 的 公开 密 钥 ， 并 且 信 任 Bob 
签名 的 其 他 用 户 的 密 钥 。 他 用 Alice 的 密 钥 验 证 签名 ， 如 果 签 名 有 效 就 接 

这 样 Bob 就 将 Alice 介 绍 给 了 Carol。 


PGP 没 有 说 明 建 并 信任 的 方法 。 用 户 可 以 自由 决定 信任 谁 。PGP 提 
供用 公开 密 钥 建立 相互 信任 的 机 制 。 每 一 个 用 户 保留 一 个 收集 公开 密 钥 
签名 的 文件 ， 称 为 公开 密 钥 环 (public-key ring) 。 密 钥 环 的 每 一 个 密 
钥 都 有 一 个 密 钥 合法 性 字段 ， 说 明 特 殊 用 户 信任 密 铀 有 效 性 的 程度 。 信 
任 标准 越 高 ， 用 户 越 信任 密 钥 的 合法 性 。 签 名 的 信任 字段 可 衡量 用 户 信 
任 签名 者 对 其 他 用 户 公开 密 钥 签名 的 程度 。 最 后 ， 用 户 自身 信任 字段 说 
明了 一 个 特定 用 户 信任 密 钥 所 有 者 对 其 他 公开 密 钥 签名 的 程度 ， 该 字段 
由 用 户 手动 设置 的 ， 随 着 用 户 提供 新 的 信息 ，PGP 将 继续 更 新 这 些 字 
段 。 














图 24-7 显 示 了 在 这 种 模型 中 怎样 寻找 一 个 特定 用 户 Alice。 顶 层 是 
Alice 的 密 钥 ， 其 他 用 户 都 完全 信任 她 。Alice 已 经 对 Bob、Carol、 
Dave、Ellen 和 Frank 的 密 钥 进 行 了 签名 。 她 信任 Bob 和 Carol 对 其 他 用 户 
公开 密 钥 的 签名 。 但 不 完全 信任 Dave 和 Ellen 对 其 他 用 户 的 签名 。 





[C] Arice 信 任 密 钥 所 有 者 对 其 他 密 钥 签 名 
* 对 y 的 密 钥 签名 
站 ”| Aiice 部 分 信任 密 钥 所 有 者 对 其 他 密 钥 签 名 


| | Alice 相 信 密 钥 是 合法 的 Es Alice 不 相信 密 钥 是 合法 的 


Jennifer 

















图 24-7 PGP 信 息 模型 


两 个 部 分 信任 者 的 签名 可 以 证 明 一 个 密 钥 。 因 为 Dave 和 Ellen 都 对 
Kurt 的 密 钥 进行 了 签名 ， 所 以 Alice 相 信 Kurt 的 密 钥 是 有 效 的 。 这 在 PGP 
中 不 是 自动 完成 的 。Alice 可 以 根据 上 自己 的 需要 设置 级 别 。 

















正 因 为 Alice 相 信和 菏 个 密 钥 是 有 效 的 ， 所 以 她 无 须 信任 它 对 其 他 用 户 
密 钥 的 签名 。 她 不 信任 Frank 对 其 他 用 户 公 开 密 钥 的 签名 ， 尺 管 她 自己 
给 他 的 公开 密 钥 签 了 名 。 并 且 ， 她 不 信任 Martin 密 钥 上 Ivan 的 签名 ， 以 
及 Nancy 密 钥 上 Kurt 的 签名 。 


Owen 的 密 钥 没有 存放 在 网 络 中 的 任何 地 方 。Alice 可 能 从 某 个 密 铀 
服务 器 得 到 Owen 的 密 钥 。PGP 没 有 指定 这 个 密 钥 是 否 有 效 。Alice 必 须 
决定 是 相信 密 钥 有 效 ， 还 是 决定 相信 密 钥 的 某 个 签发 者 。 








当然 ， 没 有 什么 可 以 阻止 Alice 使 用 她 不 信任 的 密 钥 。PGP 的 工作 是 
警告 Alice 那 个 密 钥 不 能 相信 ， 而 不 是 阻止 通信 。 


整个 系统 最 薄弱 的 环节 是 密 钥 的 撤销 。 它 不 能 保证 没 人 会 使 用 不 安 
全 的 密 钥 。 如 果 Alice 的 私人 密 钥 被 盗 ， 她 将 发 出 一 个 密 钥 撤销 证 书 
(key revocation certificate) ， 但 是 由 于 这 个 密 钥 的 分 发 是 非 正 式 的 且 将 
花费 大 量 的 时 间 和 口舌 ， 故 不 能 保证 密 钥 环 中 每 一 个 有 Alice 公 开 密 钥 的 
用 户 都 能 收 到 。 由 于 Alice 必 须 用 她 的 私人 密 钥 签名 撤销 的 证 书 ， 所 以 如 
末 Alice 同 时 丢失 了 私人 密 钥 ， 她 惑 不 能 撤销 密 钥 。 


在 本 书写 作 时 ，PGP 的 版 本 是 2.6.2，PGP 3.0 在 1995 年 年 底 发 表 。 
PGP 3.0 包 含 了 可 选 的 3 重 DES、SHA 和 其 他 的 一 些 公 开 密 钥 算 法 ， 以 及 
一 个 分 离 加 密 和 签名 的 公开 密 钥 /私人 密 钥 密 钥 对 ， 增 加 了 密 钥 撤销 程 
序 ， 改 进 了 密 钥 管理 功能 ， 并 在 其 他 程序 中 集成 了 PGP 的 应 用 程序 接口 
CAPI) 和 完全 重 写 代码 库 。 


PGP 支 持 的 操作 系统 有 MS-DOS、UNIX、Macintosh、Amiga 和 
Atari。 对 私人 及 非 商 业 性 使 用 它 是 免费 的 ， 并 且 可 从 许多 因特网 的 ftp 站 
点 获得 。 如 果 想 从 MIT 的 ftp 站 点 下 载 PGP， 可 用 getpgp 里 份 远程 登录 到 








net-disk.mitedu， 回 答 一 些 问 题 ， 接 着 登录 到 net-disk.mitedu 上， 然后 可 
在 远程 登录 会 话 中 改变 路 径 名 。 它 同样 可 以 从 ftp.ox.ac.uk、ftp.dsi、 
unimi.it、ftp.funet.fi、ftp.demon.co.uk、Compuserve、AOL 和 其 他 地 方 获 
得 。 对 于 美国 商业 用 户 来 说 ， 可 以 花 大 约 100 美 元 从 一 家 名 为 ViaCrypt 


的 公司 获得 完整 版 。 该 公司 的 地 址 是 : 9033 N 24 Ave, Phoenix, 





AZ, 85021; 电话 : (602) 944-0773; E-mail: viacrypt@acm.org. 
多 个 共享 软件 可 将 PGP 和 集成 到 MS-DOS、Windows、Macintosh 和 UNIX 系 
FP 


目前 有 一 些 书 讲 到 了 PGP (601. 1394, 1495] 。 其 源 代码 甚至 在 一 本 
试图 打击 美国 国务 院 的 书 中 出 现 [1653」 ， 因 为 国务 院 继续 坚持 源 代 码 
只 能 以 书面 的 形式 而 不 能 以 电子 方式 出 口 。 假 如 你 信任 IDEA，PGP 将 
可 能 是 接近 和 军事 级 加 密 的 最 佳 捷径 。 


智能 卡 是 一 个 塑料 卡 ， 大 小 和 形状 与 信用 卡 一 样 ， 内 部 伐 入 有 计算 
机 已 片 。 这 并 不 是 一 种 新 技术 20 年 前 就 已 申请 了 专利 ) ， 但 由 于 实际 
的 限制 ， 直 到 大 约 五 年 前 才 使 它 的 生产 成 为 可 能 。 它 们 大 多 在 欧洲 生 
产 。 许 多 国家 用 智能 卡 收取 电话 费 。 现 在 已 有 信用 卡 、 现 金 卡 和 其 他 的 
一 些 智 能 卡 。 美 国 的 一 些 智能 卡 公司 正在 研究 一 项 技术 ， 使 今后 的 美国 
公民 在 钱包 里 只 需 放 智 能 卡 而 不 用 放 现 金 。 


智能 卡 含 有 一 个 小 的 计算 机 《通常 是 一 个 8 位 的 微 处 理 器 ) 、 
RAM (大 约 250 字 节 ) 、ROM (大 约 6 或 8KB) 和 EPROM 或 
EEPROM “大 约 儿 KB)〉。 将 来 的 智能 卡 将 有 更 大 的 容量 ， 但 是 智能 卡 
的 物理 限制 使 扩充 变 得 困难 。 智 能 卡 有 它 自 己 的 操作 系统 、 程 序 和 数 
据 。《〈 它 不 自 带电 源 ， 它 的 电源 从 连接 的 读 卡 器 中 获得 。) 智能 卡 是 安 
全 的 ， 在 这 个 世界 上 ， 你 可 能 不 信任 其 他 人 的 计算 机 或 电话 或 者 其 他 什 
么 ， 但 你 仍然 可 以 相信 你 钱包 里 的 卡 。 








智能 卡 中 可 以 有 不 同 的 加 密 算法 协议 和 算法 程序 。 它 们 可 能 配置 成 
一 种 电子 钱包 ， 可 以 花费 和 接收 数字 现金 。 它 们 可 以 执行 零 知 识 鉴 别 协 
议 ， 并 且 可 以 有 自己 的 加 密 密 钥 。 它 们 可 以 对 文件 签名 或 者 解锁 计算 机 
中 的 一 些 应 用 。 








菏 些 智能 卡 被 设 成 是 防 莫 改 的 ， 这 样 可 以 保护 发 卡 机 构 。 银 行 不 布 
望 用 户 攻 击 他 们 的 智能 卡 来 获得 更 多 的 钱 。 











智能 卡 很 有 意思 ， 关 于 它们 的 信息 也 很 多 。 文 献 [672] 是 一 篇 很 
好 的 有 关 智 能 卡 加 密 的 综述 文章 。 每 年 10 月 在 巴黎 都 将 举行 一 次 
CARTES 会 议 ， 同 时 每 年 的 4 月 将 在 华盛顿 举行 一 次 CardTech 会 议 。 文 
献 [342、382] 是 另外 两 个 智能 卡 会 议 的 会 议 录 。 已 有 数 百 计 的 智能 卡 
专利 ， 大 部 分 属于 欧洲 公司 。 文 献 [1682] 是 一 篇 有 趣 的 文章 ， 关 于 智 
能 卡 将 来 可 能 的 应 用 : 完整 性 验证 、 鉴 别 、 副 本 保护 、 数 字 现 金 和 保密 
的 邮资 计 费 。 





24.14 ”公开 密 钥 密码 学 标准 


公开 密 钥 密码 学 标准 (Public-Key Cryptography Standard，PKCS ) 
是 RSA 数 据 安全 公司 试图 为 公开 密 钥 密码 学 提供 的 一 个 工业 标准 接口 。 
传统 上 说 ， 这 种 事情 应 由 ANSI 处 理 ， 但 是 考虑 到 当前 加 密 制 度 的 情 
况 ，RSADSI 公 司 认为 他 们 最 好 自己 制定 标准 。 在 多 个 公司 的 共同 努力 
下 ， 他 们 研制 了 一 系列 标准 。 其 中 某 些 标准 可 与 其 他 标准 兼容 而 有 些 则 
不 兼容 。 











这 些 标准 还 算 不 上 传统 意义 的 标准 ， 对 PKCS 标 准 没 有 标准 团体 召 
集会 议和 投票 。 依 照 RSADSI 自 己 的 说 法 ，RSADSI 将 “单独 保留 制定 每 
个 标准 的 权力 ”"， 并 将 “在 适当 的 时 候 发 表 修订 后 的 标准 ”L303] 。 


即使 如 此 ， 仍 然 有 许多 好 的 东西 。 如 果 你 在 对 公开 密 钥 算法 编程 时 
不 知道 使 用 何 种 句法 和 数据 结构 ， 这 些 标准 可 能 会 给 你 带 来 帮助 。 由 于 
它们 不 是 真正 的 标准 ， 你 可 以 根据 需要 进行 裁剪 。 





下 面 简单 地 描述 了 每 一 个 PKCS (PKCS#1 中 包含 了 PKCS#2 和 


PKCS#4) 。 


:PKCS#1 [1345」 描述 了 RSA 加 密 和 解密 的 方法 ， 主 要 用 于 组 织 
PKCS#7 中 所 描述 的 数字 签名 结构 和 数字 信封 。 对 于 数字 签名 ， 用 签名 


者 的 私人 密 钥 对 散 列 运算 后 的 消息 进行 加 密 。PKCS 反 对 消息 和 散 列 进 
行 了 详细 描述 。 对 于 数字 信封 〈 加 密 信息 ) ， 首 先 信 息 用 一 个 对 称 的 加 
密 算法 加 密 ， 然 后 用 接收 者 的 公开 密 钥 加 密 消息 密 钥 。 依 照 PKCS#7 的 
句法 对 加 密 的 消息 和 加 密 的 密 钥 进行 了 描述 。 这 两 个 功能 都 与 PEM 标 准 
兼容 。 对 于 RSA 的 公开 密 钥 、 私 人 密 钥 、 三 个 签名 算法 (MD2 和 RSA、 
MD4 和 RSA 以 及 MD5 和 RSA) 以 及 签名 证 书 ，PKCS#1L 也 摘 述 了 与 又 .509 
和 PEM 中 同样 的 语法 。 





:PKCS#3 [1346」 描述 了 实现 Diffie-Hellman 密 钥 交 换 功 能 的 方法 。 


:PKCS#5 “1347」 描述 了 用 一 个 从 口令 中 派生 的 秘密 密 钥 加 密 消息 
的 功能 。 它 使 用 MD2 或 MD5 从 口令 中 派生 密 钥 ， 并 采用 DES 的 CBC 模 式 
加 密 。 这 个 功能 主要 用 于 加 密 从 一 个 计算 机 传送 到 另 一 个 计算 机 的 私人 
密 钥 ， 但 是 不 能 用 于 加 密 消 息 。 


-PKCS#6 11348] 描述 了 公开 密 钥 证 书 的 标准 语法 。 该 语法 是 X.509 
证 书 的 扩展 ， 如 果 需 要 ， 可 以 取出 X.509 证 书 。 除 了 X.509 证 书 外 ， 其 他 
附加 属性 已 使 证 书 处 理 不 限于 公开 密 钥 。 这 些 包 括 其 他 一 些 信息 ， 如 电 
子 邮 件 的 地 址 。 





:PKCS#7 [1349」 是 一 个 对 数据 加 密 或 签名 的 通用 语法 ， 如 数字 信 
封 和 数字 签名 。 这 些 语法 是 递归 的 ， 所 以 信封 可 以 进行 艇 套 ， 或 者 可 以 
签名 已 经 加 密 的 数据 。 这 些 语法 还 提供 了 其 他 一 些 属性 ， 如 可 与 消息 内 


容 一 起 鉴别 的 时 间 标 记 。PKCS#7 与 PEM 兼 容 ， 所 以 不 需 其 他 密码 操作 
就 可 以 将 加 密 的 消 恩 转换 成 PEM 消 娠 ， 反 之 亦 然 。 PKCS#7 支 持 多 种 基 
于 证 书 的 管理 系统 ，PEM 是 其 中 的 一 个 。 


-PKCS#8 [1350」 描述 了 私人 密 钥 信息 语法 ， 包 括 私 人 密 钥 、 一 组 
属性 和 加 和 密 私 人 密 钥 的 语法 。PKCS#5 可 以 用 于 加 密 私 人 密 钥 信息 。 


.PKCS#9 11351] 定义 了 PKCS#6 扩 展 证 书 、PKCS#7 数 字 签 名 消息 
和 PKCS#8 加 密 私 人 密 钥 信息 的 选择 属性 类 型 。 


-PKCS#10 [19521 描述 了 证 书 请 求 的 标准 语法 。 一 个 证 书包 含 可 区 
IKEF. AFAA AW) 一 组 属性 ， 所 有 这 些 均 由 请 求证 书 的 
用 户 签名 。 将 证 书 请 求 发 送 至 证 书 机 构 ， 证 书 机 构 将 请 求 转换 成 X.509 
公开 密 钥 证 书 或 PKCS#6 证 书 。 





-PKCS#11 11953! 是 密码 标记 的 API 标 准 ， 详 细 规 定 了 一 个 称 为 
Cryptoki 的 编程 接口 ， 它 可 用 于 各 种 可 移植 的 密码 设备 。Cryptoki 给 出 了 
一 个 通用 逻辑 模型 ， 不 需要 知道 详细 的 技术 细 市 就 可 以 在 可 移植 的 设备 
上 完成 加 密 操 作 。 这 个 标准 还 定义 了 应 用 范围 : 设备 可 以 支持 的 多 组 算 
es 





:PKCS#12 [1354] 描述 了 将 用 户 公开 密 钥 、 受 保护 的 私人 密 钥 、 证 
书 和 其 他 相关 的 加 密 信 息 存 放 在 软件 中 的 语法 。 它 的 目标 是 为 各 种 应 用 
提供 一 个 标准 的 单一 密 钥 文件 。 








这 些 标准 是 全 面 的 ， 但 并 不 是 完善 的 。 许 多 东西 未 包含 在 标准 的 范 
图 内 ， 如 命名 的 问题 、 围 绕 证 书 的 未 加 密 问 题 、 密 钥 长 度 和 各 种 参数 的 
条 件 等 。PKCS 所 提供 的 是 基于 公开 冤 钥 加 密 的 数据 传输 格式 和 文 持 这 
个 传输 的 基本 结构 。 


24.15 ”通用 电子 支付 系统 


通用 电子 电 付 系 统 (Universal Electronic Payment System, UEPS) 
最 初 是 为 南非 农村 而 开发 研制 的 一 种 智能 卡 银行 应 用 系统 ， 后 来 被 南非 
主要 的 银行 组 织 所 采用 。 到 1995 年 南非 可 能 已 经 发 行 了 200 万 张 智 能 
卡 。 它 同样 被 纳米 比 亚 所 采用 ， 在 俄罗斯 也 至 少 有 一 家 银行 配置 了 它 。 











该 系统 可 提供 保密 的 借方 卡 。 它 适用 于 电话 服务 质量 很 差 、 不 能 
行 在 线 鉴别 的 地 方 。 消 费 者 和 批发 商都 有 卡 ， 消 费 者 可 以 通过 卡 将 钱 转 
交 给 批 友 商 。 然 后 批发 商用 他 们 的 卡 打 电 话 并 将 钱 存放 在 他 们 银行 的 账 
户 里 。 消 费 者 可 以 用 卡 打 电话 将 钱 存放 在 他 们 的 卡 里 。 该 系统 不 提供 匿 
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下 面 是 消费 者 Alice 和 批发 商 Bob 之 间 的 通信 协议 。 【实际 上 ，Alice 
和 Bob 只 需要 将 他 们 的 卡 插入 一 个 机 器 ， 然 后 等 待 它 完 成 交易 。) 当 
Alice 第 一 次 得 到 卡 时 ， 她 同时 得 到 了 一 对 密 钥 K; AIK, 。 银 行 通过 她 的 
姓名 和 一 些 秘密 的 函数 计算 出 这 些 密 钥 。 只 有 批发 商 的 卡 掌握 了 计算 出 
消费 者 密 钥 所 需 的 秘密 。 





(1) Alice 用 DES 算 法 对 她 的 姓名 A、Bob 的 姓名 B、 随 机 数 RA 加 
密 ， 首 先 用 K, 加 密 ， 然 后 用 K1 加密， 并且 与 她 的 没有 加 密 的 姓名 A 一 
起 传输 给 Bob。 


A, De (Er Ay By RO) 


(2) Bob 通 过 Alice 的 姓名 计算 出 K; MK, 。 他 解密 收 到 的 信息 ， 确 
认 A 和 B 的 正确 性 ， 然 后 用 K, 加 密 Alice 加 密 前 的 明文 信息 。 


Ex, (A; B; Rx) 


Bob 并 不 将 这 个 结果 发 送 给 Alice， 密 文 的 56 位 变 成 密 钥 K。。 接 着 
Bob 用 DES 算 法 对 他 的 姓名 、Alice 的 姓名 和 另外 的 一 个 随机 数 Rp 先 用 
K; 加 密 ， 再 用 K1 加 密 ， 他 将 加 密 的 结果 发 送 给 Alice。 


Ex, (Ek, (A, B, ie) 


(3) Alice 用 与 Bob 同 样 的 方法 计算 出 K3 。 她 解密 Bob 发 给 她 的 消 
轧 ， 确 认 B 和 A 的 正确 性 ， 接 着用 Ks 加 密 Bob 加 密 前 的 信息 。 


Ex, (A, Da Ry) 


Alice 并 不 将 这 个 结果 发 给 Bob， 密 文 的 56 位 变 成 密 钥 K4, 。 然 后 
Alice 将 她 和 Bob 的 姓名 以 及 数字 校 验 C 发 给 Bob。 这 个 校 验 包含 发 送 者 和 
接收 者 的 姓名 、 日 期 、 校 验 数 字 、 人 金额 和 两 个 MAC， 均 用 DES 算 法 先 用 
密 钥 Ky 再 用 Ki; 加 密 ， 其 中 一 个 MAC 可 通过 Alice 的 银行 验证 ， 另 一 个 则 
只 能 由 结算 中 心 验证 。 


By, (Bx (Ay By O) 


(4) Bob 用 与 Alice 相 同 的 方法 计算 出 K4 。 假 如 所 有 的 姓名 和 校 验 
都 上 正确， 他 就 接受 付 球 。 


该 协议 的 高 明之 处 在 于 每 一 次 加 密 密 钥 都 依靠 先前 的 消息 提供 。 每 
一 个 消息 作为 所 有 先前 消息 的 双重 认证 。 这 意味 着 某 人 不 能 重 放 一 个 旧 
的 消 妃 ， 人 否则 接收 者 根本 不 能 将 它 解 答 。 


该 协议 的 另 一 个 高 明之 处 在 于 它 加 强 了 正确 性 执行 。 如 采 一 个 应 用 
开发 者 没有 正确 执行 该 协议 ， 协 议 将 不 起 作用 。 











双方 的 卡 记录 每 一 次 交易 。 当 卡 可 以 同 银行 直接 通信 时 〈 批 友 商 存 
放 他 的 钱 ， 消 费 者 取出 更 多 的 钱 存 入 卡 中 ) ， 银 行将 这 些 记录 保存 下 来 
用 于 审计 。 


防臭 改 人 硬件 可 防止 参与 者 混 清 数 据 。Alice 不 能 改变 她 卡 中 的 数据 。 
大 量 的 审计 可 提供 数据 来 识别 和 检举 欺诈 交易 。 这 些 卡 中 有 一 些 通用 的 
秘密 : 消费 者 卡 中 的 MAC 密 钥 、 批 及 商 卡 中 将 消费 者 的 姓名 转化 为 Ki 
MIK, 的 函数 ， 但 其 逆 过 程 的 实现 则 被 认为 很 困难 。 





该 方案 并 不 是 绝对 的 完善 的 ， 仅 比 纸 质 钞票 和 传统 的 借用 卡 安全 。 
欺骗 的 威胁 不 是 来 自 军 事 对 手 ， 而 是 来 自 批发 商 和 消费 者 中 的 机 会 主义 
者 。UEPS 可 防止 这 种 欺骗 。 








消息 交换 是 该 协议 成 功 的 例子 : 每 一 个 消息 包含 双方 名 字 和 新 的 唯 








的 信息 ， 并 且 每 一 个 消息 均 依 靠 先 前 的 所 有 消息 。 


24.16 Clipper 


Clipper 芯 片 〈 也 叫做 MYK-78T) 是 一 种 由 NSA 设 计 的 、 防 算 改 
的 、 用 于 加 密 声 音 的 VLSI 芯片 。 它 是 美国 政府 执行 托管 加 密 标 准 
(EES) 的 两 种 芯片 之 一 [153」 。 芯 片 由 VLSI 公司 制造 ， 由 Mykotronx 
公司 对 芯片 进行 程序 设计 。 最 初 ，Clipper 用 于 AT&T3600 型 电话 保密 设 
备 中 《参见 24.18 节 ) 。 蕊 片 实现 了 Skipjack 加 密 算法 (参见 13.12 节 )， 
该 算法 是 由 NSA 设 计 的 机 密 秘密 密 钥 加 密 算法 ， 仅 用 于 OFB 模 式 下 。 


Clipper 忌 片 及 整个 EES 最 具 争 议 的 是 密 钥 委 托 协议 〈 人 参见 4.14 
节 ) 。 每 个 芯片 有 一 个 特定 的 密 钥 ， 但 对 于 消息 不 是 必需 的 。 该 密 钥 用 
于 加 密 每 个 用 户 消息 密 钥 的 副本 。 在 同步 处 理 过 程 中 ， 发 送 者 Clipper 心 
片 产 生 和 发 送 一 个 法 律 强 制 的 访问 字段 〈Law Enforcement Access 
FieldLEAF, LEAF) 给 接收 者 Clipper 蕊 片 。LEAF 包 含 了 一 个 用 特殊 密 
钥 ( 称 为 设备 密 钥 (unit key) ) 加 密 当 前 会 话 密 钥 的 副本 。 这 人 允许 政 
府 鳃 听 者 恢复 会 话 密 钥 ， 然 后 用 会 话 密 钥 恢 复出 会 话 的 明文 信息 。 








根据 NIST 主 任 的 介绍 182l : 


预计 将 用 一 个 “ 密 钥 托管 ?系统 来 确保 采用 Clipper 心 片 保护 美国 公民 
合法 的 秘密 。 由 心 片 组 成 的 每 套 设 备 有 两 个 唯一 的 密 钥 ， 政 府 机 构 授 权 
再 用 这 两 个 密 钥 来 解密 由 设备 加 密 的 消 轧 。 在 设备 制造 好 后 ， 将 两 个 密 








钥 分 别 存 入 由 首席 检 穴 官 建立 的 两 个 “ 密 钥 托管 "数据库 。 密 钥 的 存 取 仪 
限于 有 合法 授权 、 执 行 锣 听 的 政府 官员 。 








政府 同样 到 励 出 口 的 电话 采用 这 些 设备 。 没 有 人 知道 那些 密 钥 托 省 
数据 库 将 会 发 生 什 么 事 。 


抛 开 政治 来 说 ，LEAF 内 部 结构 值得 讨论 [312、1154、1594、459、107、 
462」 。LEAF 是 一 个 128 位 的 字符 串 ， 假 定 两 个 掌握 了 这 些 密 钥 托管 数据 
库 的 托管 机 构 (escrow agency) 合作 ，LEAF 包 含 了 足够 的 信息 允许 司 
法 部 门 恢复 会 话 密 钥 Ks 。LEAF 包 含 了 一 个 32 位 的 设备 标识 符 U， 标 识 
符 对 Clipper 芯 片 是 唯一 的 。 它 还 包含 了 用 芯片 唯一 的 设备 密 钥 K, 加 密 
的 80 位 的 会 话 密 钥 和 称 为 托管 标识 符 的 16 位 的 校 验 和 C， 这 个 校 验 和 是 
会 话 密 钥 、IV 和 其 他 的 一 些 信息 的 函数 。 这 3 个 字段 用 固定 的 密 钥 系列 
Kp 加 密 ，Ks 由 所 有 互 操 作 的 Clipper 芯 片 共享 。Ks 所 用 的 加 密 模式 、 校 
验 和 的 细节 和 LEAF 精 确 的 结构 都 是 保密 的 。 它 看 起 来 像 这 种 形式 : 


Ex Ux (Ks0)) 


Ky 在 制造 时 就 已 经 编程 到 Clipper 心 片 中 。 接 着 这 个 密 钥 被 拆 开 
参见 3.6 节 ) ， 并 保存 在 两 个 不 同 的 密 钥 托管 数据 库 中 ， 由 两 个 不 同 
的 托管 机 构 保护 。 





如 果 Eve 想 从 LEAF 中 恢复 Ks ， 首 先 她 必须 用 Kr 解密 LEAF 恢 复 U， 
接着 必须 把 法 院 命令 出 示 给 每 个 托管 机 构 ， 每 个 机 构 将 对 所 给 U 返 回 半 


个 Ku 。Eve 将 收 到 的 两 半 进 行 异 或 恢复 Ku ， 然 后 用 Ku o KEK ， 接 下 
来 她 就 可 以 用 K, BEAT BT T - 


设计 校 验 和 是 为 了 阻止 菜 些 人 进行 其 又。 如 果 校 验 和 有 误 ， 接 收 者 
Clipper 心 片 就 不 会 解密 。 然 而 由 于 校 验 和 上 只 有 22 个 可 能 的 值 ， 所 以 可 
以 在 42 分 钟 内 找到 一 个 具有 正确 校 验 和 但 密 钥 错误 的 假 LEAF [1871 。 
这 对 Clipper 通 话 丝 坚 没有 帮助 。 因 为 密 钥 交换 协议 不 是 Clipper 心 片 的 组 
成 部 分 ， 所 以 42 分 钟 的 穷 举 攻击 必须 发 生 在 密 钥 交换 以 后 ， 不 能 发 生 在 
电话 通话 前 。 该 攻击 对 传真 或 者 Fortezza 卡 可 行 《 参 见 24.17 节 ) 。 


所 猜测 ，Clipper 心 刻 能 够 阻止 “非常 专业 的 、 资 金 雄 厚 的 对 手 ” 的 逆 
向 工程 攻击 “1541 ， 但 传闻 桑 迪 亚 国家 实验 室 对 Clipper 芯 片 进行 了 成 
功 的 逆 问 工程 攻击 。 即 使 这 些 传闻 不 是 真 的， 我 想 世 界 上 最 大 的 必 片 生 
产 商 也 能 够 生产 逆向 工程 的 Clipper。 这 仅仅 是 一 个 时 间 问 题 ， 将 来 一 定 
有 人 能 用 正确 的 资源 和 道德 实现 它 


与 该 方案 有 关 的 是 公众 的 隐私 问题 。 许 多 公民 自由 宣传 组 织 强烈 反 
对 密 钥 托 管 机 制 赋予 政府 偷 听 公 民 通 话 的 权利 。 但 不 可 理解 的 是 该 主意 
从 未 被 国会 通过 。NIST 出 版 了 托管 加 密 标 准 作 为 FIPS [1153」 ， 缓 冲 了 
这 个 令 人 愤 轻 的 法 律 过 程 。 现 在 看 来 EES 将 慢 慢 地 、 静 静 地 消失 ， 但 标 
准 会 渐渐 对 你 产生 影响 。 





表 24-2 中 列 出 了 一 些 参与 该 项 目的 各 个 机 构 。 每 一 个 机 构 都 想 做 威 


胁 分 机。 是 使 两 个 托管 机 构 都 参与 执行 呢 ? 还 是 使 托管 机 构 除 了 育 目 同 
意外 ， 根 本 不 知道 有 关 搭 线 贸 听 请 求 的 任何 事情 呢 ? 或 是 使 政府 强制 床 
用 一 个 秘密 算法 作为 商业 标准 呢 ? 


无 论 如 何 ， 执 行 Clipper 产 生 了 很 多 问题 ， 在 法 庭 上 将 对 它 的 价值 表 
示 怀 疑 。 记 住 ，Clipper 仅 仅 采 用 OFB 方 式 工 作 。 无 论 你 是 否 被 告 之 ， 它 


不 提供 完整 性 和 鉴别 。 


表 24-2 ”EES 参与 机 构 


司法 机 构 ”系统 发 起 者 和 系列 密 钥 机 构 
FBI 解密 用 户 和 系列 密 钥 机 构 
财政 部 “托管 代理 
NSA Ree RA 
设想 Alice 正 在 受审 ， 并 且 一 个 Clipper 加 密 电 话 是 证 据 的 一 部 分 。 
Alice 声 称 从 来 没有 打 过 这 个 电话 ， 声 音 不 是 她 的 。 电 话 的 压缩 算法 非常 


兰 ， 它 几乎 不 能 辨别 出 Alice 的 声音 ， 但 控 方 证 明 : 由 于 只 有 Alice 的 托 
管 密 钥 能 够 解密 这 个 通话 ， 因 此 它 一 定 是 来 自 Alice 的 电话 。 





Alice 将 用 类 似 [984、1339] 的 方法 证 明 这 个 电话 是 假 的 : 利用 给 
出 的 明文 和 密 文 进行 异 或 ， 可 以 得 到 密 钥 流 。 接 着 这 个 密 钥 流 与 完全 不 
同 的 明文 蜡 或 ， 从 而 得 到 一 个 伪造 的 密 文 。 当 把 伪造 的 密 文 输入 到 
Clipper 解 密 时 ， 它 将 转变 为 一 个 伪造 的 明文 。 不 管 真 假 ， 把 打 电 话 作为 
证 据 都 将 在 陪审 团 中 引起 足够 的 怀疑 








另 一 个 攻击 称 为 挤 压 攻击 ， 人 允许 Alice 陷 害 Bob。 [575] 中 介绍 了 
该 攻击 : Alice 使 用 Clipper 呼 叫 Bob。Alice 保 存 LEAF 和 会 话 密 钥 的 副 
本 。 接 着 ， 她 呼叫 Carol (Alice 知 道 Carol 已 经 被 窃听 ) 。 在 密 钥 建立 期 
间 ，Alice 迫 使 与 Carol 通 话 的 会 话 密 钥 和 与 Bob 通 话 的 会 话 密 钥 一 样 。 这 
要 求 改动 电话 ， 但 并 不 困难 。 接 着 Alice 用 Bob 的 LEAF 人 代替 她 自己 的 
LEAF 发 送 给 Carol。 这 是 一 个 有 效 的 LEAF， 因 此 不 会 引起 Carol 电 话 的 
注意 。 现 在 她 就 可 以 与 Carol 进 行 通话 了 。 当 警察 解密 LEAF 时 ， 他 们 将 
发 现 它 是 Bob 的 LEAF。 即 使 Bob 没 有 被 Alice 陷 害 ， 在 法 隆 上 他 也 能 声明 
这 样 的 事实 ， 以 破坏 Clipper 计 划 的 目的 。 





美国 法 律 执 行 机 构 不 会 在 商业 犯 徘 中 搜集 证 据 ， 筷 在 法 寿 上 是 无 效 
的 。 即 使 密 钥 托管 是 一 个 好 主意 ， 但 是 采用 Clipper 实 现 它 是 一 个 低劣 的 
办 法 。 





24.17 Capstone 


Capstone 〈 也 称 为 MYK-80) 是 NSA 开 发 的 另 一 个 VLSI 加 密 芯 片 ， 
它 实现 了 美国 政府 的 托管 加 密 标准 [1153」 。Capstone 包 含 了 下 面 的 一 


些 功能 [1155. 462 | : 


.4 种 基本 模式 : ECB、CBC、CFB 和 OFB 下 的 Skipjack 密 码 算法 。 
.公开 密 钥 交换 算法 (KEA) ， 可 能 是 Diffie-Hellman。 

数字 签名 算法 (DSA) 。 

安全 散 列 算法 (SHA) 。 

通用 的 求 浓 算法 。 

采用 纯 噪 声 源 的 通用 的 随机 数 发 生 器 。 


Capstone 提 供 安 全 电子 商务 和 其 他 基于 计算 机 应 用 所 需要 的 密码 功 
能 。 第 一 个 应 用 是 在 称 为 Fortezza 的 PCMCIA 卡 上 。 “在 一 家 名 为 


Tessera 的 公司 抱怨 前 它 最 初 叫 做 Tessera。 ) 


为 防止 前 面 讨论 的 对 LEAF 的 穷 举 攻击 ， 在 NSA 为 Fortezza 卡 生产 的 
版 本 中 曾 考 虑 增加 Capstone 的 LEAF 校 验 和 的 长 度 。 实 际 上 ， 他 们 增加 


了 一 个 特性 ， 即 出 现 10 个 错误 的 LEAEF 后 对 卡 进 行 复 位 。 这 仅 将 找到 假 
的 但 有 效 的 LEAF 所 需 的 时 间 增 加 了 10%， 即 46 分 钟 。 我 对 此 不 敢 苟 
同 。 


24.18 AT&T 3600 型 电话 保密 设备 


AT&T 电 话 保密 模块 (Telephone Security Device, TSD) 是 Clipper 
电话 。 事 实 上 ，TSD 有 4 个 模块 。 一 个 包含 Clipper 必 片 ， 另 一 个 包含 可 
出 口 AS&T 专 有 的 加 密 算 法 ， 第 三 个 包含 用 于 国内 和 可 出 口算 法 的 专用 
算法 ， 第 四 个 包含 Clipper、 国 内 和 可 出 口 的 算法 。 


对 每 个 电话 ，TSD 使 用 不 同 的 会 话 密 钥 。 一 对 TSD 不 依靠 Clipper 必 
片 ， 而 是 利用 Diffie-Hellman 密 钥 交 换 产 生 一 个 会 话 密 钥 。 由 于 Diffie- 
Hellman 不 包含 鉴别 ， 所 以 TSD 有 两 种 方法 来 阻止 中 间 人 攻击 。 





首先 是 屏幕 。TSD 对 会 话 密 钥 进 行 散 列 运 算 ， 在 一 个 小 屏幕 上 显示 
该 函数 为 4 个 十 六 进 制 数字 。 通 话 者 应 确认 其 屏幕 上 显示 的 是 同样 的 数 
字 。 语 音质 量 很 好 ， 使 双方 可 识别 出 对 方 的 声音 。 








Eve 仍 有 可 能 进行 攻击 。 假 设 Eve 在 Alice 与 Bob 通 话 的 中 间 。 她 在 
Alice 的 线 上 使 用 一 个 TSD， 在 与 Bob 的 线 上 用 另 一 个 改进 过 的 TSD， 她 
在 中 间 把 这 两 个 电话 桥接 起 来 。Alice 想 进行 保密 通信 ， 她 通常 会 产生 一 
个 密 钥 ， 除 非 Eve 正 在 扮演 Bob。Eve 恢 复出 密 钥 ， 然 后 利用 改进 过 的 
TSD， 迫 使 她 产生 的 密 钥 和 Bob 具 有 相同 的 散 列 值 。 这 种 攻击 听 起 来 不 
太 可 能 ， 但 TSD 可 用 一 种 连锁 协议 的 变型 来 防止 这 种 攻击 。 


TSD 利 用 噪声 源 和 一 个 具有 数字 反馈 的 混沌 放大 需 来 产生 随机 数 。 
通过 使 用 数字 信和 号 处 理 器 的 白 噪 声 化 滤波 需 的 反馈 来 产生 位 流 。 
除 此 之 外 ，TSD 手 册 根 本 未 提 太 保密 问题 ， 实 际 上 ， 它 是 这 样 写 的 


[70] , 


AT&IT 不 能 保证 TSD 能 防止 由 任何 政府 部 门 、 它 的 代理 或 任何 第 三 
方 对 任何 加 密 的 通信 进行 的 密码 攻击 。 此 外 ，AT&T 也 不 保证 TSD 可 以 





防止 采用 和 劳 路 加 密 的 方法 而 对 通信 进行 的 攻击 。 


第 25 章 ”政治 


25.1 国家 安全 局 


NSA 是 美国 国家 安全 局 的 缩写 〈 尽 管 如 此 ， 在 专业 圈 内 ， 人 们 戏称 
它 为 查 无 此 局 (No Such Agency) 或 从 不 开口 (Nerver Say 
Anything) ， 它 是 美国 政府 的 官方 安全 机 构 ，1952 年 由 哈里 .杜鲁门 总 统 
创建 ， 设 在 国防 部 内 。 多 年 来 ， 它 的 存在 一 直 是 秘 而 不 宣 的 。NSA 人 参与 
情报 的 破译 ， 其 任务 是 监听 和 破译 所 有 与 美国 安全 相关 的 国外 通信 。 





以 下 段落 摘 目 NSA 的 成 立宪 音 ， 它 于 1952 年 由 杜鲁门 总 统 签 辕 ， 并 
在 其 后 多 年 内 属于 机 密 文 件 : 


NSA 中 的 COMINT 任 务 是 提供 有 效 、 统 一 的 组 织 ， 并 对 由 美国 政府 
下 达 的 针对 外 国政 府 的 通信 情报 活动 进行 控制 ， 同 时 提供 与 之 有 关 的 综 
合 操作 政策 和 手段 。 在 该 指导 思想 下 , “通信 情报 ?或 COMINT 应 理解 为 
用 于 除外 国 出 版 和 宣传 广播 以 外 的 通信 拦截 的 所 有 手段 和 方法 ， 并 包含 
除 通信 指定 接收 外 的 途径 获取 的 通信 信息 ， 但 排除 审查 机 构 和 最 终 情报 
的 产生 与 分 发 。 








COMINT 活 动 的 特殊 性 质 要 求 它们 在 所 有 方面 区 别 于 其 他 的 或 普通 
的 情报 活动 。 与 情报 的 搜集 、 产 生 、 安 人 全、 执行 、 分 发 、 利 用 和 秘密 材 


料 有 关 的 执行 部 门 的 长 官 下 达 的 命令 、 指 令 、 政 策 或 建议 不 能 用 于 
COMINT 活 动 ， 除 非 由 委员 会 资格 部 门 或 权威 人 士 声明 和 下 达 。 其 余 对 
情报 中 心 长 官 下 达 的 国家 安全 委员 会 情报 指令 和 相关 的 由 情报 中 心 颁布 
的 实施 指令 同样 不 能 用 于 COMINT 活 动 ， 除 非 国 家 安全 委员 会 制订 了 专 
门 适用 于 COMINT 的 指令 。 





NSA 从 事 密码 方面 的 研究 ， 既 设计 保护 美国 通信 的 保密 算法 ， 同 时 
又 设计 密码 分 析 技 术 ， 以 监听 他 国 通信 。 众 所 周知 ，NSA 是 世界 上 最 大 
的 数学 家 的 雇主 ， 也 是 世界 上 最 大 的 计算 机 硬件 的 买主 。NSA 拥 有 的 密 
码 学 专家 的 水 平 比 公开 的 技术 发 展 水 平 可 能 领先 许多 年 〈 在 算法 上 ， 而 
非 协议 ) ， 它 毫 无 疑问 可 以 破译 实际 使 用 的 许多 系统 ， 但 是 由 于 国家 安 
全 ， 几 乎 所 有 有 关 NSA 的 信息 《甚至 它 的 预算 ) 都 是 保密 的 (传言 它 的 
预算 是 每 年 130 亿 美元 〈 包 括 NSA 军 方 项 目的 人 员 的 投资 ) 并 拥有 雇员 
16000 人 ) 。 














NSA 运 用 自己 的 权力 限制 密码 在 公开 场合 的 使 用 ， 以 阻止 敌国 使 用 
太 强 的 加 密 方法 而 使 NSA 无 法 破译 。James Massey 论 述 了 在 密码 学 研究 
方面 学 术 界 与 军事 界 之 间 的 这 种 斗争 [1007」 : 














如 果 人 们 将 密码 学 视 为 政府 的 特权 ， 那 么 吏 意 味 痢 大 多 数 密码 学 研 
客 将 关 起 门 来 进行 。 坚 无 疑问 ， 今 天 秘密 从 事 密 码 学 研究 的 人 远 远 超过 
了 公开 从 事 密 码 学 研究 的 人 。 事 实 上 ， 密 码 学 公开 研究 的 普及 还 只 是 近 
10 年 的 事 ， 这 两 种 研究 团体 之 间 的 矛盾 一 直 存 在 并 将 继续 存在 下 去 。 公 











开 研 究 是 对 知识 进行 共同 探索 ， 主 要 通过 学 术 杂 志 、 会 议 文 献 和 出 版 物 

行 公开 的 思想 交流 而 使 其 具有 生命 力 。 但 是 ， 对 于 一 个 负 有 破译 他 国 
密码 责任 的 政府 机 构 来 说 ， 它 能 或 励 公 布 它 不 能 破译 的 密码 吗 ? 对 于 一 
个 有 民 知 的 密码 研究 者 来 说 ， 他 能 公布 这 种 有 可 能 危害 自己 政府 的 密码 
破译 者 效率 的 密码 吗 ? 人 们 可 能 会 辩解 说 ， 只 要 将 一 个 证 明 是 安全 的 密 
码 公 布 ， 各 国政 府 束 会 成 为 “正人 君子 ”。 但 是 ， 人 们 必须 清楚 ， 与 大 多 
数学 科 领 域 不 同 ， 密 码 学 的 公开 研究 充满 了 更 多 的 严酷 的 政治 和 道德 问 
题 。 让 人 感到 纳闷 的 不 是 政府 机 构 和 公开 研究 者 之 间 在 密码 学 方面 产生 
TREFH, WEEE I (至少 我 们 了 解 其 中 一 些 ) 一 直 非 常 少 并 且 
十 分 温和 。 











James Bamford 写 了 一 本 有 关 NSA 的 十 分 有 趣 的 书 《The Puzzle 
Palace) ‘79! ， 最 近 由 Bamford 和 Wayne Macdsen 修 订 [8°! 。 


商业 COMSEC 认 可 程序 


商业 COMSEC 认 可 程序 (CCEP) ， 其 代码 名 为 Overtake， 于 1984 
年 由 NSA 首 创 ， 以 推动 采用 和 藤 入 式 密码 的 计算 机 和 通信 产品 的 发 展 
-85、1165」 。 军 队 一 直 在 为 这 类 昂贵 的 事情 投资 。 据 NSA 统 计 ， 如 果 生 
产 保密 设备 的 公司 同时 向 军队 和 社会 用 户 甚至 海外 的 使 用 者 出 售 设备 ， 
成 本 必 将 会 下 降 并 且 各 方 都 会 受益 。 他 们 不 用 再 遵照 联邦 标准 1027 对 设 
备 的 要 求 ， 这 样 CCEP 就 能 提供 政府 认可 的 密码 设备 “419」 。 











NSA 为 不 同 的 目的 开发 了 一 系列 的 密码 模块 。 针 对 不 同 的 应 用 ， 模 
块 中 的 算法 各 不 相同 ， 制 造 商 可 以 拔 出 一 个 模块 而 插入 另 一 个 用 户 要 求 
的 模块 。 有 用 于 军队 的 模块 《Type 1 ) ， 有 “ 非 保密 但 敏感 的 * 用 于 政府 
部 门 的 模块 《 工 型 》， 用 于 企业 的 模块 (I 型， 用 于 出 口 的 模块 (I 
型 ) 。 表 25-1 总 结 了 不 同 的 模块 、 应 用 及 名 称 。 


这 个 程序 依然 有 效 ， 但 从 未 流行 于 政府 之 外 。 所 有 的 模块 都 防 莫 
改 ， 所 有 的 算法 都 是 保密 的 ， 你 只 能 从 NSA 获 得 密 钥 。 很 多 公司 从 未 真 
正 想 过 要 采用 政府 指定 的 保密 算法 。 你 别 以 为 NSA 已 经 从 中 吸取 了 教 
训 ， 并 不 再 为 Clipper、Skipjack 及 托管 加 密 必 片 所 烦 扰 。 


表 25-1 CCEP 模 块 


应 用 I 型 I 型 
语音 /低速 数据 Winster Edgeshot 
计算 机 Tepache Bulletproof 
高 速 数据 Foresee Brushstroke 


下 一 代 Countersign | Countersign |[ 


25.2 ”国家 计算 机 安全 中 心 


国家 计算 机 安全 中 心 (NCSC) 是 NSA 的 一 个 分 支 机 构 ， 负 责 政府 
的 可 信 计 算 机 计划 。 目 前 ， 该 中 心 评估 商用 保密 产品 (软件 和 硬件 〉， 
发 起 并 公布 研究 ， 开 发 技术 指南 ， 通 常 还 提供 这 方面 的 建议 、 支 持 和 培 
训 。 


NCSC 出 版 了 小 有 名 气 的 “ 桶 皮 书 ”[4654 。 该 书 真正 的 书 名 是 
{Department of Defense Trusted Computer System Evaluation Criteria) 
《国防 部 可 信 计 算 机 系统 评估 准则 ) 。 但 这 个 书 名 太 长 了 ， 而 该 书 的 封 
面 是 桶 色 ， 因 而 称 为 橘 育 书 。 橘 皮 书 党 试 定 义 安全 要 求 ， 给 计算 机 生产 
商 一 种 客观 的 方法 来 衡量 其 系统 的 安全 性 ， 并 指导 他 们 按照 一 定 的 准则 
来 建立 他 们 的 保密 产品 。 它 着 重 于 计算 机 安全 而 非 密码 学 。 








橘 皮 书 将 安全 保护 主要 划分 为 4 种 。 另 外 还 对 其 中 一 些 进 行 了 保护 


分 类 ， 见 表 2522 ， 

有 时 ， 制 造 商 会 说 “我 们 具有 C2 级 安全 ”之 类 的 话 ， 指 的 就 是 上 面 的 
划分 。 有 关 这 方面 更 详细 的 内 容 ， 请 阅读 文献 [1365] 。 在 这 些 标准 中 
应 用 的 计算 机 安全 模块 称 为 Bell-LaPadula 模 块 [100. 101. 102, 1031 , 


C2 Q 


ve 


> 


: 最 低 安 全 
: 随意 保护 
Cl: 随意 安全 保护 
C2: 控制 访问 保护 
: 强制 保护 
Bl: 标记 安全 保护 
B2: 结构 化 保护 
B3: 安全 域 
: 验证 保护 
Al: 验证 设计 
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NCSC 已 经 出 版 了 一 整套 有 关 计 算 机 安全 的 系列 从 书 ， 有 的 称 为 “ 彩 
虹 从 书 *”( 因 为 所 有 封皮 的 颜色 各 不 相同 ) ， 这 些 书 分 别 讨论 计算 机 安 
全 的 某 个 方面 。 如 Trusted Network Interpretation of the Trusted Computer 
System Evaluation Criteria 〈 可 信 计 算 机 系统 评价 准则 的 可 信 网 络 解释 ) 
L146] 。 有 的 称 为 “红皮书 ”， 它 就 网 络 和 网 络 设备 解释 橘 皮 书 。Trusted 
Database Management System Interpretation of the Trusted Computer 
System Evaluation Criteria〈 可 信 计 算 机 系统 评价 准则 的 可 信 数 据 库 管 理 
系统 解释 ) 147」 。 (我 甚至 不 能 描述 封面 的 颜色 ) 对 数据 库 做 同样 
的 事情 。 目 前 ， 这 类 丛书 共有 30 本 ， 有 些 封面 的 颜色 令 人 讨厌 。 


要 获得 一 整套 彩虹 从 书 ， 请 与 以 下 地 址 联系 : Director, National 
Security Agency, INFOSEC Awareness, C81, 9800 Savage Road, Fort 





George G.Meade, MD 20755-6000; 电话 : (410) 7668729. 


不 要 告诉 他 们 是 我 说 的 。 


25.3 ”国家 标准 技术 所 


国家 标准 技术 所 CNIST) 是 美国 商业 部 下 属 的 一 个 部 门 ， 以 前 叫 
做 国家 标准 局 (NBS) ，1988 年 改 为 现在 这 个 名 。NIST 通 过 它 的 计算 机 
系统 实验 室 (CSL) 促进 开放 标准 和 互 操作 性 ， 和 希望 以 此 刺激 计算 机 产 
业 的 经 济 发 展 。 为 实现 这 个 目的 ， 它 颁布 标准 和 指南 ， 以 期 被 美国 所 有 
计算 机 系统 采纳 。 官 方 标准 作为 FIPS 出 版 物 出 版 。 


如 末 你 想 索 取 任 何 FIPS 或 任何 其 他 NIST 出 版 物 ) 的 副本 ， 请 与 
下 面 地 址 联系 : National Technical information Service (NTIS) ， 
U.S.Department of Commerce, 5285 Port Royal Road, Springfield, VA 
22161; 电话 : (703) 487-4650; 或 访问 : //csrc.ncsl.nist.gov。 


1987 年 ， 国 会 通过 了 计算 机 安全 法 案 ， 责 成 NIST 制 订 标 准 ， 以 保 
证 政府 计算 机 系统 中 敏感 但 非 密 信息 的 安全 。《〈 机 密 信 息 和 Warner 
Amendment 数 据 属 于 NSA 管 辖 范围 。) 该 法 案 授权 NIST 可 与 其 他 政府 机 
构 和 私人 产业 共同 评估 提出 的 技术 标准 。 





NIST 颁 布 密码 使 用 方面 的 标准 ， 要 求 美国 政府 机 构 对 敏感 但 非 密 
的 信息 使 用 这 些 标准 。 通 常 ， 私 营 产 业 也 采用 这 些 标准 ，NIST 采 纳 了 
DES, DSS. SHS#IEES. 


所 有 这 些 算法 都 是 在 NSA 的 帮助 下 开发 的 ， 从 分 析 DES 到 设计 
DSS、SHS 以 及 在 EES 中 采用 的 Skipjack 算 法 。 有 人 批评 NIST 让 NSA 对 这 
些 标准 拥有 太 多 的 控制 权 ， 因 为 NSA 的 利益 与 NIST 的 某 些 利益 可 能 不 
一 致 。NSA 对 这 些 算法 设计 和 开发 的 实际 影响 有 多 大 ， 人 们 并 不 清楚 。 
考虑 到 NIST 在 人 员 、 财 力 和 资源 上 的 限制 ，NSA 的 卷 入 可 能 是 无 可 指 
责 的 ， 因 为 NSA 可 以 使 用 大 量 的 资源 ， 它 在 计算 机 设施 上 几乎 无 人 可 


LK. 








这 两 个 机 构 之 间 的 官方 “谅解 备忘录 (MOU) 写 道 : 


根据 公共 法 律 100 一 235 条 之 规定 国家 标准 技术 所 所 长 





与 国家 安全 局 局 长 之 间 的 访 解 备 还 录 


承认 


A> 


(1) 根据 1987 年 计算 机 安全 法 案 第 2 部 分 (公共 法 律 100~~235) ， 


国家 标准 技术 所 〈NIST) 在 联邦 政府 中 对 下 述 方面 负 有 责任 : 
Ca) 开发 技术 、 管 理 、 物 理 和 行政 管理 标准 及 指南 ， 用 于 该 法 和 
定义 的 联邦 计算 机 系统 中 的 敏感 信息 的 成 本 效果 核算 安全 和 保密 。 


(b) 在 这 方面 适当 借鉴 国家 安全 局 (NSA) 的 计算 机 系统 技术 安 
全 指南 。 


(2) 在 该 法 案 的 第 3 部 分 ，NIST 将 与 其 他 机 构 和 办 公 室 ， 包 括 
NSA 密 切 协 作 ， 以 确保 : 


(a) 最 大 限度 地 利用 所 有 与 计算 机 系统 安全 和 保密 有 关 的 现 有 计 
算 机 中 的 程序 、 材 料 、 研 究 和 报告 ， 以 避免 不 必要 的 且 耗 资 的 重复 劳 
动 。 


D) 在 该 法 案 下 ， 由 NIST 开 发 的 标准 以 最 大 的 灵活 性 满足 并 兼容 
有 关联 邦 计算 机 系统 中 机 密 信 息 保护 的 标准 和 程序 。 





(3) 在 该 法 案 下 ， 商 务 部 长 授权 NIST 所 长 任命 计算 机 系统 安全 和 
保密 顾问 委员 会 的 成 员 ， 其 中 至 少 有 一 位 应 来 自 NSA。 


因此 ， 在 该 谅解 备忘录 (MOU) 宗旨 的 推动 下 ，NIST 所 长 和 NSA 
局 长 由 此 达成 下 述 协议 。 
1.NIST。 


(1) 将 任命 计算 机 安全 和 保密 顾问 委员 会 ， 其 中 至 少 一 名 代表 由 
NSA 局 长 任命 。 


(2) 在 一 定 程度 上 吸收 NSA 开 发 的 计算 机 系统 技术 安全 指南 ， 其 
程度 由 NIST 决 定 ， 这 些 指南 要 与 联邦 计算 机 系统 中 的 敏感 信息 保护 要 
求 一 致 。 








(3) 承认 NSA 在 可 信 计 算 机 安全 评估 准则 程序 下 对 已 评估 可 信 系 
统 证 明 合 格 的 评定 ， 不 要 求 男 外 评估 。 


(4) 开发 电信 安全 标准 以 保护 敏感 但 非 密 的 计算 机 数据 ， 尽 可 能 
最 大 限度 地 吸收 NSA 的 经 验 和 产品 ， 及 时 满足 这 些 任务 要 求 ， 并 做 到 成 
本 效果 核算 。 


(5) 尽 可 能 避免 重复 ， 与 NSA 相 互 协商 以 寻求 NSA 的 支持 。 


(6) 请求 NSA 在 所 有 与 密码 算法 和 密码 技术 相关 的 事情 上 给 予 帮 
助 ， 包 括 但 不 仅 限 于 研究 、 开 发 、 评 估 和 担保 等 方面 。 





2.NSA。 


(1) 将 为 NIST 提 供 可 用 于 成 本 效果 核算 系统 中 的 可 信 技 术 、 电 信 
安全 和 个 人 识别 方面 的 技术 指南 ， 以 保护 敏感 计算 机 数据 。 


(2) 进行 或 发 起 可 信 技 术 、 电 信安 全 、 蜜 码 技术 和 个 人 识别 方法 
的 研究 和 开发 计划 。 


(3) 啊 应 NIST 要 求 在 所 有 与 密码 算法 和 密码 技术 相关 的 事情 上 给 
予 帮助 ， 包 括 但 又 不 仪 限 于 研究 、 开 发 、 评 估 或 担保 的 请 求 。 





(4) 建立 标准 并 保证 产品 应 用 时 能 满足 10USC 第 2315 部 分 
(Warner Amend-ment) 提 到 的 系统 安全 要 求 。 


(5) 根据 联邦 机 构 以 及 它们 的 承包 人 和 其 他 政府 所 办 实体 的 请 
求 ， 对 威胁 联邦 信息 系统 的 有 政 意 的 情报 进行 评估 ， 提 供 技术 援 助 并 推 
存 担 保 的 应 用 产品 来 保证 系统 安全 以 抵抗 威胁 。 


3.NIST 和 NSA。 


C1) 将 按照 该 法 案 第 6 b) 部 分 的 规定 ， 共 同 考 察 从 属于 NIST 和 
NSA 的 计算 机 系统 的 安全 和 保密 的 机 构 计划 。 


(2) 在 必要 时 交换 技术 标准 和 指南 ， 从 而 达到 该 法 案 的 目的 。 


(3) 尽 可 能 以 最 高 的 效率 共同 实现 该 备 示 录 的 目的 ， 避 免 不 必 要 
的 重复 劳动 。 


(4) 保持 一 种 不 断 进 行 的 、 开 放 的 对 话 ， 以 保证 每 个 组 织 同时 保 
持 呈 现 技术 和 发 布 影 响 基于 计算 机 系统 中 的 目 动 化 信息 系统 安全 。 





(5) 建立 一 个 技术 工作 小 组 ， 审 查 并 分 析 双 方 对 处 理 敏 感 或 其 他 
非 密 信息 系统 保护 感 兴 趣 的 问题 。 该 小 组 将 由 6 个 联邦 雇员 组 成 ，NIST 
和 NSA 各 选择 3 人 ， 需 要 时 可 增加 其 他 机 构 的 代表 。 问 题 可 由 NSA 信 息 
安全 副 局 长 或 NIST 副 所 长 提交 给 该 小 组 讨论 ， 或 者 经 他 们 同意 ， 由 该 
小 组 提出 并 讨论 问题 。 在 NSA 信 息 安 全 副 局 长 或 NIST 副 所 长 将 问题 提 
交 该 小 组 后 ， 该 小 组 将 以 进展 报告 和 深入 分 析 计 划 的 形式 给 予 答复 。 





(6) 每 年 交换 所 有 有 关 人 处 理 敏感 或 其 他 非 密 信 息 系统 保护 的 研究 


和 开发 项 目的 工作 计划 ， 包 括 保护 数据 完整 性 和 可 用 性 的 可 信 技 术 、 电 
信安 全 和 个 人 识别 方法 。 每 个 季度 交换 一 次 更 新 计划 ， 任 何 一 方 请 示 力 
一 方 提供 计划 评述 时 均 要 满足 要 求 。 








(7) 确保 该 技术 工作 组 在 评述 以 后 才能 公开 透露 所 有 涉及 将 要 开 
发 的 、 用 于 保护 联邦 计算 机 系统 敏感 信息 的 技术 性 系统 的 安全 技术 方面 
的 事情 ， 以 保证 美国 的 国家 安全 。 如 果 NIST 和 NSA 在 60 天 以 内 不 能 解 
决 这 样 一 个 问题 ， 那 么 任何 一 方 均 可 选择 将 该 问题 往 上 提交 给 国防 部 和 
商务 部 。 该 问题 也 可 通过 NSC 提 交 给 总 统 解 决 。 在 问题 得 到 解决 以 前 ， 
不 能 采取 任何 行动 。 

(8) 当 NSA 和 NIST 达 成 协议 后 ， 可 将 附加 的 可 操作 协议 以 附录 形 
式 列 入 该 MOU 中 。 


4. 任 何 一 方 在 书面 通知 6 个 月 之 内 可 选择 中 止 该 MOU， 该 MOU 必 须 
得 到 双方 签名 方 可 生效 。 


/签名 / 


RAYMOND G.KAMMER 


NIST 执 行 所 长 ，1989 年 3 月 24 日 


W.O.STUDEMAN 


美国 海军 准将 ，NSA 局 长 ，1989 年 3 月 23 日 


25.4 RSA 数据 安全 有 限 公 司 


RSA 数 据 安全 有 限 公 司 (RSADSI) 成 立 于 1982 年 ， 主 要 开发 RSA 
专利 产品 ， 颁 发 许可 证 书 并 销售 RSA 专 利 产 品 。 它 有 一 些 商 用 产品 ， 包 
括 独 立 的 E-mail 保密 软件 包 和 各 种 密码 库 〈 以 源 代码 和 目标 代码 两 种 形 
式 提 供 ) 。RSADSI 也 销售 RC2 和 RC4 对 称 算法 (参见 11.8 节 ) 。RSA 实 
验 室 提供 密码 学 方面 的 咨询 服务 。 





如 对 其 专利 或 产品 感 兴趣 ， 可 与 下 述 地 址 联系 : RSA Data 
Saecurity, Inc., 100 Marine Parkway, Redwood City, CA 94065; 电话 
(415) 595-8782; 传真 (415) 595-1873 


25.5 ”公开 密 钥 合作 商 


表 25-3 中 的 5 项 专利 是 由 加 州 Sunnyvale 公 开 密 钥 合作 商 (PKP) 所 
掌握 ， 这 个 组 织 是 RSADSI 和 Caro-Kahn 公 司 一 一 Cylink 的 母 公司 的 联 
盟 。 (其 中 RSADSI 获 得 利润 的 665% ，Caro-Kahn 获 得 35% 。) 他 们 声 
称 ， 这 些 专利 ， 特 别 是 4218582 号 专利 ， 都 可 应 用 于 公开 密 钥 密 码 学 的 
所 有 应 用 。 


表 25-3 ”公开 密 钥 合作 商 的 专利 





专 利 号 H 期 发 明 人 专利 包括 

1 200 770 1980 £ 4 A 29 A Hellman, Diffie, Merkle Diffie-Hellman 密 钥 交换 
1 218 582 1980 年 8 月 19 日 Hellman, Merkle Merkle-Hellman 背包 

4 405 829 1983 44 9 H 20 H Rivest, Shamir, Adleman RSA 

4 424 414 1984 年 3 月 3 日 Hellman, Pohlig Pohlig-Hellman 

4 995 082 1991 年 2 月 19 日 Schnorr Schmorr 签名 


在 文献 [L574」 中 ，PKP 写 道 : 


这 些 专 利 〈 指 专利 4200770，4218582，4405829，4424414) 涉及 所 
有 实现 公开 密 钥 技术 的 已 知 方法 ， 包 括 各 种 统称 为 EIGamal 的 方法 。 


由 于 RSA 数 字 签 名 在 国际 上 被 广泛 接受 ， 所 以 公开 密 钥 合作 商 坚决 
器 数 字 签 名 标准 靠拢 。 我 们 癌 所 有 有 利害 关系 的 各 方 保 证 ， 公 开 密 钥 合 
作 商 将 遵循 ANSI 和 IEFE 有 关 获 得 应 用 这 一 技术 的 许可 证 方面 的 所 有 政 
发。 特别 是 ， 在 文 持 可 能 被 采纳 的 任何 RSA 签 名 标准 方面 ， 公 开 密 钥 合 











作 商 保证 ， 在 合理 的 情况 和 条 件 下 ， 在 无 卜 视 性 的 基础 上 ， 应 用 RSA 签 
名 的 许可 证 将 是 可 以 获得 的 。 





上 述 这 段 话 是 人 否 真实 取决 于 谈话 的 对 象 。PKP 的 许可 证 大 多 数 一 直 
是 保密 的 ， 因 此 没有 办 法 审查 这 些许 可 证 是 否 是 标准 的 。 尽 管 他 们 声称 
他 们 从 来 没有 否认 过 任何 人 的 许可 证 ， 但 至 少 有 两 个 公司 的 许可 证 被 否 
认 过 。PKP 牢 牢 地 保护 它 的 专利 ， 任 何人 如 果 企 图 使 用 无 许可 证 的 公开 
密 钥 密 码 学 将 受到 PKP 的 威胁 。 在 某 种 程度 上 讲 ， 这 是 美国 专利 法 的 使 
然 。 如 果 你 掌握 了 一 项 专利 ， 但 却 没 有 对 侵犯 专利 的 行为 进行 起 诉 ， 那 
么 你 就 可 能 失去 你 的 专利 。 关 于 这 些 专利 是 否 合法 一 直 说 法 虎 多 ， 但 到 
目前 为 止 ， 还 只 是 谈论 而 已 。 所 有 合法 的 对 PKP 专 利 的 挑战 在 判决 前 就 
己 达 成 协议 。 














在 本 书 中 ， 我 不 准备 对 法 律 问题 做 出 评论 。 也 许 RSA 专 利 在 法 庭 上 
将 不 会 继续 有 效 ， 也 许 这 些 专 利 并 未 应 用 于 全 部 的 公开 密 钥 密码 学 ， 也 
许 有 人 最 终 将 赢得 对 PKP 或 RSADSI 的 诉讼 。 但 是 ， 必 须 记 住 ， 那 些 拥 
有 自己 法 律 部 门 的 大 公司 ， 如 IBM、 微 软 、 鞍 花 、 蔷 果 、 网 威 、 
Digital、 国 家 半导体 、AT&T 和 Sun 等 都 获得 了 在 其 产品 中 应 用 RSA 的 许 
可 证 ， 而 不 是 在 法 庭 上 与 之 对 抗 。 此 外 ， 波 音 、 壳 牌 、 杜 邦 Raytheon 和 
CitiCorp 公 司 也 获得 了 内 部 使 用 RSA 的 许可 证 。 








在 最 近 的 一 场 诉讼 案 中 ，PKP 起 诉 TRW 公 司 无 许可 证 使 用 ElGamal 
算法 。TRW 声 称 ， 他 们 不 需要 许可 证 。PKP 和 TRW 于 1992 年 6 月 达成 调 


解 ， 调 解 的 详细 内 容 不 清楚 ， 但 TRW 同 意 申 请 专利 许可 证 。 这 并 不 预 
示 前 景 看 好 。TRW 能 够 文 付 请 名 律师 的 宽 用 ， 而 我 只 能 假设 ， 如 果 他 
们 认为 不 需要 花 那 么 多 钱 就 能 打 属 这 场 官司 ， 那 么 他 们 肯定 会 奋起 抗 
F 


同时 ，PKP 内 部 也 存在 问题 。1994 年 6 月 ，Caro-Kahn 控 告 RSADSI 
宣称 RSA 专 利 无 效 及 不 可 执行 “401] 。 两 位 合作 商都 试图 结束 其 合作 关 
系 。 专 利 究竟 是 否 有 效 ? 用 户 是 否 必须 向 CaroKahn 提 出 申请 许可 证 以 使 
用 RSA 算 法 ? 谁 是 Schnorr 专 利 的 所 有 人 ? 本 书 出 版 时 该 问题 可 能 已 得 到 
解决 。 





专利 的 有 效 时 间 只 有 17 年 ， 并 不 再 延期 。1997 年 4 月 29 日 ，Diffie- 
Hellman 密 钥 交 换 (以 及 ElGamal 算 法 ) 公开 。 到 2000 年 9 月 20 日 ，RSA 
将 为 公众 使 用 。 


25.6 ”国际 密码 研究 协会 


国际 密码 研究 协会 CACR) 是 世界 性 的 密码 研究 组 织 。 其 宣扬 的 
宗旨 是 促进 密码 学 及 相关 领域 的 理论 及 实践 的 发 展 。 会 员 资格 对 任何 人 
都 是 开放 的 ， 该 协会 主办 两 种 年 度 会 议 ， 即 美洲 密码 学 年 会 和 欧洲 密码 
学 年 会 ， 并 出 版 《The Journal of Cryptology》 和 《IACR Newsletter) 两 
种 刊物 。 


IACR 商 务 办 公 室 地 址 随 其 总 裁 的 变化 而 变化 。 目 前 的 地 址 是 : 


IACR Business Office，Aarhus Science Park，Gustav Wieds Vej 10， 


DK-8000 Aarhus C, Denmark. 


25.7 RACE 完整 性 基本 评估 


欧洲 高 级 通信 技术 研究 与 开发 《RACE) 计划 是 由 欧 共 体 发 起 的 ， 
则 在 支持 通信 标准 和 技术 方面 的 先导 性 竞争 和 规范 工作 ， 以 支持 综合 宽 
带 通 信 (IBC〉。 作 为 这 项 工作 的 一 部 分 ，RACE 成 立 了 RACE 完 整 性 基 
本 评估 〈RIPE) ， 它 通过 集成 现 有 的 技术 来 满足 IBC 的 安全 要 求 。 


欧洲 6 个 领先 的 密码 研究 小 组 组 成 了 RIPE 集 团 ， 它 们 分 别 是 : 阿 姆 
斯 特 丹 数字 及 计算 机 科学 中 心 、 西 门 子 AC、 尺 利 浦 密码 机 Crypto BV: 
Royal PPT Nederland NV, PTT Rearch, Katholieke Universiteit Leuven: 
Aarhus Universitet。 自 1989 年 和 1991 年 征集 算法 以 后 ， 从 世界 各 地 收 到 
32 个 提议 ， 在 经 过 350 个 人 月 的 评估 后 ， 该 集团 出 版 了 《RIPE Integrity 
Primi tives) “1305、1332」 。 该 报告 包括 一 个 引言 、 一 些 基 本 的 完整 性 概 
念 和 下 述 这 些 原 函 数 : MDCC-4 (2118.1177) . RIPE-MD (参见 18.8 
节 ) 、RIPE-MAC 〈 人 参见 18.14 节 ) 、IBC-HASH、SKID (参见 3.2 
节 ) 、RSA、COMSET (参见 16.1 节 ) 和 RSA 密 钥 产 生 。 


25.8 ”对 欧洲 的 有 条 件 访问 


对 欧洲 的 有 条 件 访 问 CCAFE) 是 欧 共 体 ESPRIT 项 目 中 的 一 个 工程 
(204. 205] 。 工 作 开始 于 1992 年 12 月 ， 计 划 于 1995 年 年 底 结束 。 有 关 的 
协会 包含 社会 与 市 场 研究 组 织 (如 CardWare、Institute fiir 


Sozialforschung) 、 软 硬件 制造 商 〈 如 DigiCash、Gemplus、Ingenico 西 





门 子 ) 和 密码 学 组 织 (如 CWI Amsterdam, PTI Research Netherlands, 
SPET, Sintef Delab Trondheim. Universities ofArhus Hildesheim and 


Leuven) 。 


工程 的 目标 是 开发 对 欧洲 有 条 件 访问 系统 ， 特 别 是 数字 支付 系统 。 
支付 系统 必须 一 直 为 每 个 人 提供 合法 的 确认 ， 要 求 信 任 关 系 尽 可 能 少 
一 一 这 种 确认 并 不 依赖 于 任何 设备 的 防 复 改 。 


CAFE 的 基本 设备 是 电子 钱包 : 一 个 看 起 来 类 似 计算 器 的 小 计算 
机 。 它 具备 电池 、 键 盘 、 屏 幕 ， 以 及 与 其 他 钱包 通信 的 红外 线 通道 。 
一 个 用 户 拥有 和 使 用 自己 的 钱包 以 管理 自己 的 权益 ， 保 证 自己 的 安全 。 


拥有 键盘 和 屏幕 的 设备 比 智能 卡 更 具 优势 ， 它 可 以 独立 于 终端 进行 
操作 。 用 户 可 以 直接 输入 口令 和 款额 。 不 像 当前 采用 的 信用 卡 ， 用 户 不 
需要 给 出 钱包 来 完成 交易 。 








该 系统 还 具有 以 下 特点 : 


离线 交易 。 系 统 的 目的 是 丛 代 小 额 现 金 交 易 ， 而 在 线 系统 十 分 不 
方便 。 


MRA. WRAPPER T ACHRE, REM RD, Me 
仍 可 以 得 到 上 自己 的 钱 。 


文 持 不 同 的 流通 方式 。 


:开放 的 体系 结构 和 开放 的 系统 。 用 户 能 够 在 任意 服务 中 进行 文 
付 ， 如 由 各 个 服务 商 提供 的 购物 、 电 话 、 公 共 运 输 等 服务 。 该 系统 可 以 
在 任何 电子 货币 发 行商 ， 以 及 不 同 的 钱包 类 型 和 制造 商 中 使 用 。 


ARMAS 


该 系统 已 有 软件 版 本 ， 联 盟 正 在 努力 开发 硬件 原型 。 


239- ISNEC 3979 


20 世 纪 80 年 代 中 期 ，ISO 打 算 使 那 时 已 是 FIPS 和 ANSI 标 准 的 DES 算 

法 标准 化 。 经 过 一 些 政治 上 的 辩论 后 ，ISO 决 定 不 再 对 密码 算法 进行 标 

准 化 ， 改 为 算法 注册 。 仅 有 加 密 算法 能 够 注册 ， 散 列 函 数 和 签名 方案 不 
要 。 任 何 国家 实体 均 可 递交 算法 以 注册 。 








到 目前 为 止 只 递交 了 3 个 算法 ， 见 表 25-4。 递 交 文件 包含 应 用 、 参 
、 执 行 、 方 式 以 及 测试 辐 量 等 资料 。 由 于 细 市 描述 可 能 提供 注册 算法 
的 秘密 ， 所 以 为 可 选项 。 


实际 上 ， 算 法 注册 并 不 意味 它 的 质量 上 科 ， 也 并 不 意味 ISO/IEC 对 
该 算法 的 认同 。 注 册 仅 仅 表示 一 个 国家 实体 在 它 采 用 的 标准 上 想 注 册 算 
法 。 


表 25-4 ISO/IEC 9979 注 册 算 法 


名 BK 注册 号 


BARYPI 0001 
LDEA 0002 
LUL 0003 


我 并 非 在 强调 这 个 观点 。 注 册 妨 碍 了 标准 化 的 进程 。ISO 人 允许 任何 
算法 进行 注册 ， 而 不 是 仅仅 同意 一 些 算 法 。 由 于 在 注册 内 容 上 的 控制 不 
力 ， 声 称 一 个 算法 经 "ISO/EC 9979 注 册 ” 并 不 如 它 听 起 来 那么 好 。 无 论 
如 何 ， 英 国 国家 计算 机 中 心 坚 持 算 法 注册 。 





25.10 ”专业 人 员 、 公 民 目 由 和 工业 组 织 





25.10.1 电子 秘密 信息 中 心 


电子 秘密 信息 中 心 EPIC) 成 立 于 1994 年 ， 在 公布 秘密 出 版 物 方面 
引 人 人 注目， 这 些 出 版 物 与 国家 信息 基础 设施 有 关 ， 如 Clipper 密 码 心 片 、 
数字 电话 建议 、 国 家 识别 号 和 系统 、 医 疗 记录 的 秘密 以 及 消费 者 的 销售 
数据 等 。EPIC 指 导 诉 讼 、 主 办 会 议 、 产 品 报告 、 出 版 EPIC Alert 并 且 领 
导 针 对 秘密 出 版 物 的 活动 。 任 何 有 兴趣 参加 的 人 可 与 下 列 地 址 联系 : 


Electronic Privacy Informmtion Center, 666 Pennsylvania Avenue SE, Suit 





301, Washington, D.C.20003; 电话 (202) 544-9240; fH: (202) 
947-5482; E-mail: info@epic.org 


25.10.2 ”电子 战线 基金 会 





电子 战线 基金 会 (EFF) 是 在 计算 机 领域 保护 公民 权利 的 社会 性 团 
体 。 对 于 美国 的 密码 政策 ， 他 们 相信 了 解 和 使 用 密码 是 人 们 的 基本 权 
利 ， 因 此 不 应 受 政 府 的 限制 。 他 们 组 织 了 数字 保密 和 安全 工作 组 ， 由 50 
个 组 织 组 成 ， 该 工作 组 成 功 地 推翻 了 数字 电话 倡议 ， 并 正 致 力 于 反对 
Clipper 倡 议 。EFF 也 正在 推动 法 律 诉 讼 反对 对 密码 出 口 的 控制 “1434 。 





任何 有 兴趣 加 入 EFF 的 人 都 可 与 下 面 地 址 联系 : Electronic Frontier 
Foundation, 1001 G Street NW, Suite 950E, Washington D.C.20001; 电 
ta: (202) 34-5400; 传真 (202) 393-5509; E-mail: eff@eff.org 


25.10.3 ”计算 机 协会 


计算 机 协会 CACM) 是 国际 性 的 计算 机 工业 组 织 。1994 年 美国 
ACM 公 众 政 策 委员 会 就 美国 密码 政策 发 表 了 一 篇 优秀 的 报告 。 任 何 对 
密码 政策 感 兴趣 的 人 都 应 该 读 一 读 该 报告 。 它 可 通过 匿名 ftp 


由 /reports/acm_crypto/acm_crypto_study.ps 的 info.acm.org 获 得 。 





25.10.4 ”电气 和 电子 工程 师 学 会 


电气 和 电子 工程 师 学 会 (IEEE) 是 另 一 个 专业 组 织 。 美 国 办 事 处 就 
与 秘密 相关 的 论点 〈 如 加 密 政 策 、 身 份 识别 码 以 及 互联 网 的 安全 防护 ) 
做 出 调查 和 建议 。 


25.10.5 ”软件 出 版 商 协会 


软件 出 版 商 协会 SPA) 是 一 个 商业 协会 ， 包 括 超过 1000 家 个 人 计 
算 机 软件 公司 。 他 们 为 放宽 密码 出 口 限制 而 游说 ， 并 支持 一 系列 的 外 国 
商用 密码 产品 。 


25.11 sci.crypt 


sci.crypt 是 指 因 特 网 中 的 密码 学 新 闻 组 ， 估 计 世 界 上 有 超过 10 万 的 
人 阅读 。 大 多 数 邮件 是 无 意义 的 、 富 有 和 争论 性 的 ， 或 两 者 兼 而 有 之 ， 有 
些 是 政治 性 的 ， 其 他 大 多 是 对 信息 或 基本 问题 的 请 求 ， 偶 尔 有 一 些 有 价 
值 的 新 的 有 用 的 信息 。 如 果 你 定期 阅读 sci.crypt， 你 将 学 会 怎样 使 用 称 
为 “删除 文件 ”的 东西 。 








另 一 个 新 闻 组 是 sci.cryptresearch， 一 个 致力 于 讨论 密码 研究 的 中 等 
新 闻 组 。 极 少 有 邮件 发 表 但 更 引 人 注 意 。 


25.12 Cypherpunks 


Cypherpunks 是 由 那些 对 密码 学 的 教育 和 学 习 有 兴趣 的 人 组 成 的 一 
个 非 正 式 团体 ， 他 们 也 进行 密码 学 试验 并 试图 投入 使 用 。 他 们 的 看 法 
是 ， 如 果 得 不 到 使 用 ， 世 界 上 所 有 的 密码 研究 都 不 会 给 社会 带 来 任何 好 
处 。 





在 “Cypherpunks 宣 言 ”中 ，Eric Hughes 写 到 “744」 , 


我 们 Cypherpunks 致 力 于 建立 匿名 系统 。 我 们 采用 密码 、 匿 名 邮件 
系统 、 数 字 签 名 和 电子 钱包 保护 我 们 的 秘密 。 


Cypherpunks 编 写 代 码 。 我 们 知道 有 些 人 编写 软件 以 保护 私人 秘 
密 ， 除 非 我 们 一 起 做 ， 人 否则 晶 无 秘密 可 言 ， 所 以 我 们 编写 代码 。 我 们 公 
布 我 们 的 代码 ， 这 样 Cypherpunks 的 成 员 可 以 实践 并 完善 它 。 我 们 的 代 
码 全 世界 免费 使 用 。 我 们 并 不 关心 您 是 否 赞 同 我 们 编写 的 软件 。 我 们 知 
道 软件 不 会 被 破坏 ， 大 范围 的 分 散 系 统 不 会 朋 湿 。 


有 兴趣 加 入 Cypherpunks 的 人 可 发 电子 邮件 到 
majordomo@toad.com。 邮 件 列表 存档 于 /pub/cypherpunks 的 


ftp.csua.berkeley.edu. 


25.13 ”专利 


软件 专利 问题 的 讨论 大 大 超越 了 本 书 的 范围 。 无 论 它们 是 好 是 坏 ， 
它们 都 存在 。 各 种 算法 ， 包 括 密码 算法 在 美国 都 可 取得 专利 ，IBM 拥 有 
DES 算 法 的 专利 权 (9141 ，IDEA 也 取得 了 专利 。 几 乎 每 一 种 公开 密 钥 
算法 都 取得 了 专利 权 ，NIST 甚 至 为 DSA 申 请 专利 。 在 1940 年 的 发 明 保 
密 法 案 和 1947 年 的 国家 保密 法 案 的 授权 之 下 ， 由 于 NSA 的 和 干涉， 有 些 密 
码 专利 已 经 被 封闭 起 来 。 这 意味 着 尽管 有 专利 ， 发 明 者 也 必须 遵守 秘 
密 ， 禁 止 和 任何 人 讨论 他 的 发 明 。 








NSA 对 专利 有 特殊 的 管理 体系 。 他 们 先 申请 使 用 专利 ， 然 后 封闭 不 
以 公开 。 这 也 是 一 条 保密 法 令 ， 只 是 NSA 既 是 发 明 者 又 是 命令 的 颁布 
者 。 后 来 ， 当 保密 法 令 取 消 时 ， 专 利 局 颁布 了 专利 17 年 有 效 的 规定 。 这 
在 保密 的 同时 无 疑 地 保护 了 发 明 。 如 果 其 他 人 发 明了 同样 的 东西 ，NSA 
早已 将 专利 存档 。 如 果 没 有 人 发 明 ， 那 么 它 将 仍然 是 保密 的 。 





专利 程序 是 既 要 公开 又 要 保护 发明 者 ， 这 样 做 不 仅 公 然 违 背 了 专利 
程序 ， 而 且 它 允许 NSA 保 持 一 项 专利 超过 17 年 。 这 17 年 的 时 间 由 专利 发 
布 而 非 存 档 开 始 计算 。 虽 然 美国 已 经 认可 了 关 贸 总 协定 ， 但 什么 时 候 改 
变 并 不 清楚 。 





现在 有 许多 公开 密 钥 密码 专利 。 第 一 项 公开 密 钥 专 利 是 在 1980 年 授 


了 予 Hellman-Diffie 和 Merkle 的 。1980 年 的 另 一 项 专利 是 Merkle-Hellman 背 
包 。RSA 专 利 是 1983 年 颁布 的 ，Pohlig-Hellman 专 利 是 1984 年 颁布 的 。 


25.14 美国 出 口 法 规 





根据 美国 政府 的 规定 ， 密 码 属于 军用 品 ， 这 意味 着 它 与 IOW 导 弹 
或 F-16 战 斗 机 一 样 ， 受 同样 的 法 规制 约 。 如 果 辣 海外 出 售 密 人 码 而 无 合适 
的 出 口 许可 证 ， 那 么 将 被 视 为 国际 军火 走私 ， 如 果 你 不 想 在 联邦 监狱 里 
待 上 一 段 时 间 从 而 给 你 的 历史 抹 上 一 笔 的 话 ， 那 么 就 请 你 留心 那些 法 
规 。 


随 独 1949 年 冷战 时 期 的 到 来 ， 所 有 北约 国家 【〈 除 冰 怠 ) 及 后 来 的 澳 
大 利 亚 、 日 本 、 西 班 牙 组 成 了 巴 统 〈《CoCom) ， 即 多 边 出 口 控制 统筹 委 
员 会 。 这 是 一 个 非 官 方 无 条 约 的 组 织 ， 对 同 苏 联 、 华 约 国家 以 及 中 国 出 
口 的 敏感 军事 技术 进行 协调 和 限制 。 被 控 技 术 的 例子 ， 如 计算 机 、 铣 床 
和 密码 技术 。 目 的 是 减缓 这 些 国 家 的 技术 转化 ， 使 其 军事 力量 处 于 较 低 
Ars 











冷 碾 结束 后 ，CocCom 发 现 他 们 的 控制 政策 中 很 多 已 经 过 时 ， 他 们 正 
定义 只 一 个 称 为 “新 论坛 ”的 多 国 组 织 ， 以 阻止 军事 技术 回 他 们 不 喜欢 的 
国家 流传 。 


无 论 如 何 ， 美 国 战略 物资 出 口 政策 由 出 口 管理 法 案 、 武 器 出 口 控制 
法 和 案 、 原 子 能 法 案 以 及 非 增长 核武 器 法 和 案 等 明确 规定 。 所 有 这 些 立 法 制 
定 的 控制 行为 通过 很 多 法 令 实 施 ， 它 们 之 间 互 不 调和 。 包 括 军 事 服务 管 
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受 控 技术 出 现在 很 多 清单 上 。 加 密 软 件 一 直 被 认为 是 军需 品 加 以 保 
密 ， 出 现在 美国 军需 品 清单 CUSML) 、 国 际 军需 品 清单 (IML) 、 商 
业 控 制 清单 《CCL) 和 国际 工业 产品 清单 CL) 。 国 务 院 负责 管理 
USML， 它 被 认为 是 军火 国际 贸易 法 规 ATAR) 的 一 部 分 [466、467」 。 





有 两 个 政府 机 构 控制 加 密 软 件 的 出 口 。 一 个 是 商业 部 的 出 口 管理 局 
(BXA) ， 由 出 口 管理 法 (EAR) 授权 。 男 一 个 是 国务 院 的 国防 贸易 控 
fill (DTC》 办 公 室 ， 由 国防 贸易 法 授权 。 粗 略 地 看 ， 商 业 部 的 BXA 没 有 
那么 多 细 市 性 要 求 ， 但 DTC〔 接 受 并 一 吐 服 从 来 自 NSA 的 命令 ) 总 想 要 
最 先 了 解 所 有 的 密码 出 口 产 品 ， 并 拒绝 将 管辖 权 移交 给 BXA。 


ITAR 对 此 有 详细 规定 (1990 年 以 前 ， 国 防 贸易 控制 办 公 室 习惯 上 
称 为 军用 品 控制 办 公 室 ， 这 上 听 起 来 好 像 只 是 一 个 庞大 的 公共 关系 部 门 ， 
实际 上 是 让 人 们 起 记 我 们 正在 与 军火 打交道 ) 。 历 来 ，DTC 一 直 不 愿意 
为 高 于 特定 密级 的 加 密 产 品 颁 发 出 口 许可 证 ， 而 且 他 们 并 不 公开 这 种 密 


以 下 部 分 摘自 ITAR [466、467] , 
120.10 ”技术 数据 


本 节 所 指 的 技术 数据 是 指 : 


(1) 设计、 开发、 生产、 加工、 制造 、 组 装 、 操 作 、 修 理 、 维 护 
或 修改 国防 商品 所 需要 的 ， 如 120.10 Cd) 中 定义 的 那些 信息 而 非 “ 软 
件 ”。 包 括 如 赣 图 、 和 草图、 照片、 计划、 指令 和 文献 等 各 种 形式 的 信 
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(2) 与 国防 产品 和 国防 业务 有 关 的 机 密 信 息 。 
(3) 发 明 保 密令 涉及 的 信息 。 


(4) 第 121.8(f) 部 分 定义 的 、 和 直接 与 国防 产品 有 关 的 软件 。 





(5) 这 个 定义 不 包括 120.11 公 共 领 域 中 定义 的 在 学 校 、 院 校 和 大 
学 普通 教授 的 一 般 性 的 科学 、 数 字 或 工程 原理 方面 的 信息 ， 也 不 包括 有 
关 国 防 产品 的 功能 目的 或 一 般 性 系统 描述 的 基本 市 场 信息 


Wyo 











公共 领域 是 指 已 经 出 版 的 ， 公 众 可 在 下 述 方面 访问 或 可 获得 的 信 


el 


C1) 通过 报刊 或 书店 的 出 售 物 。 





(2) 通过 可 以 获得 的 、 对 任何 想 获 得 或 购买 出 版 信息 的 个 人 不 加 
限制 的 订购 物 。 


(3) 通过 美国 政府 批准 的 二 类 邮件 。 


(4) 在 向 公 众 开放 的 图 书馆 或 从 公众 可 获得 文献 的 地 方 。 


(5) 通过 在 任何 专利 办 公 室 可 获得 的 专利 。 


(6) 通过 在 美国 公众 通 第 可 以 访问 的 会 议 、 座 谈 、 专 家 讨论 会 、 
贸易 展览 或 展示 上 的 未 限制 的 分 友 物 。 





(7) 通过 知名 的 美国 政府 部 门 或 机 构 同 意 后 ， 任 何 形式 (不 一 定 
是 出 版 形式 ) 的 公众 物品 《〈 即 未 限制 的 分 发 物 ) (参见 125.4 (b) 
(13) 部 分 ) 。 


(8) 通过 已 授权 的 、 信 息 通 党 己 公开 并 在 科学 团体 内 共享 的 美国 
高 等 教育 研究 所 的 基础 科学 研究 。 基 础 研究 是 指 在 科学 及 工程 领域 已 经 
公开 或 共 圣 的 基本 应 用 研究 ， 区 别 于 因 所 有 权 原 因 或 特殊 的 受 美国 政府 
访问 和 分 发 控制 的 研究 。 大 学 研究 将 在 以 下 情况 下 不 能 视 为 基础 研究 : 














Ci) 由 于 项 目 或 行为 的 原因 ， 大 学 或 其 研究 人 员 接 受 了 其 他 有 关 
科学 技术 公布 的 限制 。 


Gi) 研究 由 美国 政府 投资 ， 用 于 保护 研究 成 末 的 特殊 访问 和 分 发 
征 可 用 的 。 


.120.17 HH 


出 口 指 : 


C1) 以 任何 方式 从 美国 发 送 或 带 走 国防 产品 ， 了 解 技术 数据 的 个 
人 在 国外 单纯 旅行 的 情况 除外 。 


(2) 将 美国 军用 品 清 单 中 所 列 的 任何 飞行 器 、 舰 船 或 卫星 的 注 
册 、 控 制 或 所 有 权 转 让 给 外 国人 ， 无 论 是 美国 国内 还 是 国外 。 








(3) 在 美国 泄露 〈 包 括 口 述 和 书面 泄露 ) 或 转让 任何 国防 产品 给 
外 国政 府 的 大 使 、 任 何 机 构 或 分 支 机 构 〈 如 外 交 使 团 〉。 





(4) 在 美国 泄露 〈 包 括 口述 和 书面 泄露 ) 或 转让 技术 数据 给 外 国 
A 无论 在 美国 国内 还 是 国外 。 





(5) 代表 某 个 外 国人 或 为 了 茶 外 国人 的 利益 进行 条 项 国防 业务 ， 
无 论 在 美国 国内 或 国外 。 





(6) 运载 火箭 或 发 射 这 种 火箭 的 有 效 负荷 不 视 为 本 节 所 指 的 输 
出 ， 该 节 的 大 多 数 规 定 只 与 上 面 所 定义 的 出 口 条 款 有 关 。 但 是 ， 由 于 某 
些 限 制 性 目的 ， 该 节 的 控制 应 用 于 该 节 的 国防 产品 和 国防 业务 的 销售 和 
其 他 转让 (参见 126.1) 。 





第 121 部 分 一 一 美国 苗 用 品 清单 


.121.1 通则 。 美 国 军用 品 清单 


XIII 类 一 一 辅助 军用 设备 








D 有 人 能力 文 持 信息 或 信息 系统 保密 和 机 密 性 的 密码 学 〈 伟 密 钥 
管理 ) 系统、 装备、 部件、 模块、 集成 电路 、 元 件 或 软件 ， 下 列 密码 设 
备 和 软件 例外 : 


Ci) 用 于 允许 复 制 被 保护 软件 的 特殊 设计 的 解密 函数 ， 用 户 不 能 
访问 该 函数 。 


Gi) 为 用 于 银行 或 现金 区 易 的 机 器 专门 设计 、 开 发 或 修改 的 用 
途 ， 且 仅 限 于 此 类 交易 。 银 行 或 现金 区 易 机 器 包括 目 动 点 钞 机 、 目 助 式 
报告 打印 机 、 银 行内 部 交易 加 密 用 销售 终端 或 设备 。 





( 诞 ) 使 用 类 似 技 术 ， 为 确保 在 下 列 应 用 中 的 信息 安全 而 提供 密码 


Civ) 仪 用 于 USML 控 制 之 外 的 设备 或 系统 中 的 采用 了 密码 学 的 个 
人 智能 卡 。 


Cv) 限于 访问 控制 ， 如 上 自动 点 钞 机 、 目 助 式 报告 打印 机 、 销 售 终 
端 、 可 保护 口令 、 个 人 里 份 识别 码 PIN) 或 类 似 数据 以 阻止 非法 访 
问 ， 但 并 不 加 密 文 件 或 文本 ， 除 非 这 些 文 件 或 文本 与 PIN 保护 的 口令 直 
接 相关 。 








Cvi) 限于 计算 消息 鉴别 码 (MAC) 或 类 似 结果 的 数据 认证 ， 以 
确保 文本 未 补 自 改 或 用 于 对 使 用 者 的 鉴别 ， 但 对 用 于 鉴别 之 外 的 数据 、 


文本 或 其 他 媒介 不 予 加 密 。 


CVD 限于 固定 数据 压缩 或 编码 技术 。 





(Wi〉 限 于 接收 没有 数字 加 密 且 在 视频 、 音 频 和 管理 功能 上 不 能 i 
行 数字 解密 的 广播 、 付 费 电 视 或 有 线 电 视 。 


Gx) 防止 计算 机 遭 蓄意 破坏 (如 病毒 ) 而 设计 和 修改 的 软件 。 


(2) 有 能 力 为 扩 频 系统 或 设备 产生 扩 频 和 跳 频 代码 的 密码 软件 
( 含 密 钥 管理 ) 系统 、 装 备 、 部 件 、 模 块 、 集 成 电路 、 元 件 或 软件 。 


(3) 密码 系统 、 装 备 、 部 件 、 模 块 、 集 成 电路 、 元 件 或 软件 。 
125.2” 非 密 技 术 数 据 的 出 口 


Ca) 通则 。 非 密 技 术 数 据 的 出 口 要 求 国 防 贸 易 控 制 办 公 室 颁 友 的 
许可 证 CDSP-5) ， 除 非 这 种 出 口 不 受 限 于 本 节 有 关 颁 发 许可 证 方面 的 
要 求 。 接 竺 来访 的 外 国人 时 ， 准 备 讨 论 的 具体 细节 必须 递交 到 国防 贸易 
控制 办 公 室 ， 对 技术 数据 进行 评价 。 必 须 提供 7 个 技术 数据 副本 或 讨论 
的 具体 内 容 。 














D) 专利 。 技 术 数 据 的 出 口 要 求 国防 贸 易 控制 办 公 室 颁 友 的 许可 
证 ， 只 要 这 种 数据 超越 了 文 持 国内 专利 应 用 归档 或 文 持 国 外 专利 应 用 归 
档 ， 而 没有 对 国内 应 用 归档 的 时 候 。 在 国外 请 求 专利 应 用 归档 以 及 请 求 





这 种 专利 的 修正 、 修 改 或 补遗 归档 时 ， 应 遵循 美国 专利 和 商标 办 公 室 在 
37 CFR 第 5 部 分 中 的 有 关 法 规 。 输 出 技术 以 支持 国外 专利 应 用 归档 和 处 
理应 遵循 美国 专利 和 商标 办 公 室 在 35 USC 184 中 颁布 的 有 关 法 规 。 





Cc) 泄露 。 除 非 该 节 表明 可 以 免除 ， 人 否则 当 美 国人 问 外 国人 以 口 
头 、 可 视 或 文件 形式 泄露 技术 数据 时 ， 要 求 有 许可 证 。 无 论 以 何 种 方式 
传递 技术 数据 (如 通过 电话 、 通 信 、 电 子 方式 等 ) 均 要 求 许 可 证 。 当 美 
国人 在 与 外 国外 交 使 团 和 领事 馆 打 交道 时 ， 这 类 泄露 都 要 求 许可 证 。 





诸如 此 类 。 在 这 个 文件 中 有 更 完整 、 更 多 的 信息 。 如 果 你 试图 出 口 
密码 ， 我 建议 你 去 找 一 本 完整 的 文件 和 了 解 这 方面 知识 的 律师 。 


实际 上 ，NSA 拥 有 对 密码 产品 出 口 的 控制 权 。 如 果 你 想得到 出 口 许 
可 证 (CJ) ， 你 必须 首先 将 其 产品 星 交 NSA，NSA 通 过 后 向 国务 院 呈 交 
出 口 许可 证 申请 表 。 国 务 院 同 意 后 ， 以 后 的 事情 就 属于 商业 部 管辖 ， 而 
该 部 对 密码 出 口 决 不 过 多 干涉 。 但 是 ， 如 果 NSA 不 同意 ， 那 么 国务 院 决 


不 会 通过 。 





1977 年 ， 根 据 官方 报道 一 个 名 叫 Joseph A.Meyer 的 NSA 雇 员 越 权 写 
了 一 封 信 给 IEEE， 和 警告 他 们 按 计划 发 表 原 始 RSA 论 文 将 违反 ITAR。 以 
下 摘自 The Puzzle Palace 一 书 : 


他 有 一 种 观点 。ITAR 涉 及 任何 “可 以 被 使 用 或 被 采纳 用 于 所 列 材料 
的 设计 、 生 产 、 制 造 、 人 修理、 检修、 加工 、 工 艺 、 开 发 、 操 作 、 维 护 或 


再 构造 的 非 密 信息 ”， 以 及 “任何 提高 类 国 重 大 车 用 应 用 领域 的 现状 或 建 
立新 技艺 的 技术 ”。 出 口 包括 以 书面 和 口头 或 视觉 方式 传送 信息 ， 包 括 
以 简报 和 论文 集 形式 提供 给 外 国 公 民 。 


但 是 接 下 来 的 法 规 在 字面 上 含糊 不 清 ， 范 围 过 于 广泛 ， 似 乎 要 求 任 
何人 在 准备 公开 撰写 或 谈论 涉及 军用 品 清 单 时 ， 首 移 必 须 经 国务 院 同意 
一 一 这 种 让 人 寒心 的 前 景明 显 与 第 一 修正 案 不 一 致 ， 这 种 法 规 还 没有 经 
联邦 最 高 法 院 审查 通过 。 


最 后 ，NSA 拒 绝对 Meyer 的 行为 承担 责任 ，RSA 论 文 如 期 发 表 。 没 
有 对 任何 发 明 者 采取 任何 行动 ， 尽 管 人 们 议论 他 们 的 工作 极 大 地 增强 了 
国外 密码 能 力 ， 而 不 仅 限于 发 表 的 东西 。 





下 面 是 NSA 就 有 关 密 码 出 口 的 声明 (363] : 


密码 技术 对 国家 安全 利益 极其 重要 。 这 包含 经 济 利 益 、 军 事 利 益 和 
对 外 政策 。 





我 们 不 赞同 众议院 司法 委员 会 1992 年 5 月 7 日 听取 会 的 暗示 和 最 近 新 
闻 报 道 的 倾向 ， 报 道 声称 美国 出 口 法 阻碍 了 美国 企业 对 尖端 加 密 设 备 的 
制造 和 使 用 。 我 们 没有 听 说 过 任何 一 起 由 于 美国 出 口 限制 而 妨碍 美国 企 
业 在 本 国 制造 和 使 用 加 密 设 备 或 者 国外 的 美国 企业 或 它 的 子 公 司 使 用 加 
密 设备 的 事件 。 事 实 上 ，NSA 历 来 文 持 在 国内 外 运营 的 美国 商业 企业 使 
用 加 密 以 保护 敏感 信息 。 


对 于 回国 外 出 口 ，NSA 作 为 国防 部 〈 以 及 国务 院 和 商业 部 ) 的 一 个 
分 文 ， 审 碍 由 出 口 管 理 法 或 国际 武 右 贸易 法 控制 的 、 信 息 安 全 技术 方面 
的 出 口 许 可 证 。 类 似 的 出 口 控 制 系统 在 所 有 多 边 出 口 控 制 统筹 委员 会 即 
巴 统 (CoCom) 成 员 国 以 及 许多 非 巴 统 国家 有 效 ， 因 为 这 些 技 术 被 普 人 过 
视 为 敏感 技术 。 我 们 并 不 限制 这 类 技术 出 口 ， 但 必须 逐 项 进行 审理 。 作 
为 出 口 审 碍 过 程 的 一 部 分 ， 可 能 要 求 这 些 系统 具有 许可 证 ， 并 对 许可 证 
进行 审查 以 确定 这 种 出 口 可 能 对 国家 安全 利益 ， 包 括 经 阐 、 军 事 和 政治 
安全 利益 带 来 的 影响 。 出 口 许可 证 被 同意 或 拒绝 根据 所 涉及 的 设备 类 
型 、 建 议 的 使 用 和 最 终 的 用 户 。 

















我 们 的 分 析 骨 在 表明 : 美国 在 制造 和 出 口 信息 安全 技术 方面 处 于 世 
界 领先 地 位 。 国 务 院 委托 NSA 对 有 些 密码 产品 颁发 出 口 许可 证 。 我 们 历 
来 的 通过 率 达 到 90% 以 上 。 属 于 商业 部 管辖 下 的 信息 安全 产品 出 口 许可 
证 不 需要 委托 NSA 或 DoD， 可 由 该 部 处 理 并 通过 。 这 包括 使 用 DSS 和 
RSA 这 类 技术 的 产品 ， 这 些 产 品 对 计算 机 或 网 络 提供 鉴别 和 访问 控制 。 
事实 上 ， 在 过 去 的 时 间 里 ，NSA 在 成 功 倡导 放松 对 用 于 鉴别 的 RSA 和 相 
天 技术 的 出 口 控制 上 一 直 起 着 主要 作用 。 这 类 技术 对 解决 黑客 问题 和 未 
授权 使 用 资源 问题 具有 相当 的 价值 。 














NSA 对 政策 做 了 声明 : 不 限制 鉴别 产品 的 出 口 ， 而 只 限制 加 密 产 品 
的 出 口 。 如 果 你 只 想 出 口 鉴 别 产品 ， 那 么 你 只 需 展示 该 装置 不 容易 改装 
为 加 密 装 置 即 可 获准 。 而 且 ， 鉴 别 产 品 比 加 密 产 品 的 官方 程序 简单 得 





品 只 需要 国务 院 一 次 性 通过 ， 而 加 窗 产 品 的 每 次 修改 或 甚至 
需要 





如 果 没 有 出 口 许可 证 ， 每 次 要 出 口 产 品 均 需 取得 出 口 允许 。 国 务 院 
不 同意 具有 强加 密 算法 的 产品 出 口 ， 即 使 是 使 用 DES 算 法 的 产品 的 出 口 
也 不 行 。 但 也 有 例外 ， 如 出 口 到 与 美国 通信 的 美国 附属 地 区 、 银 行 应 用 
方面 的 出 口 ， 以 及 向 适当 的 美国 军品 用 户 出 口 。SPA 最 近 一 直 在 同 政府 
谈判 以 放宽 对 出 口 许可 证 的 限制 。1992 年 SPA 与 国务 院 达 成 了 一 项 协 
议 ， 只 要 密 钥 长 度 为 40 位 或 更 少 ， 就 可 放宽 对 两 种 算法 CRC2AIRC4) 
的 出 口 许可 规定 。 具 体内 容 参 见 7.1 节 。 














1993 年 ，Maria Cantwell 议 员 (D-WA) 按 软 件 工业 的 要 求 提出 了 一 
项 法 案 ， 骨 在 放松 对 加 密 软 件 的 出 口 控制 。 参 议员 Patty Murray (D- 
WA) 在 参议 院 紧 跟着 提出 一 项 法 案 。Cantwell 法 案 作 为 综合 出 口 控 制 
法 案 的 附加 部 分 在 国会 通过 ， 但 在 NSA 的 极力 游说 下 被 国家 情报 委员 会 
否决 。NSA 无 论 做 了 什么 ， 都 给 人 留 下 深刻 印象 ， 委 员 们 无 一 例外 地 投 
票 要 求 删除 该 内 容 。 我 都 快 忘记 上 一 次 立法 者 全 体 一 致 地 做 一 件 事 是 什 
么 时 候 了 。 


1995 年 ，Dan Bernstein 在 EFF 的 帮助 下 ， 向 美国 政府 提出 诉讼 
求 政府 放宽 在 密码 文献 和 软件 出 版 物 方面 的 限制 S 。 申 诉 书 称 出 口 
控制 法 是 违背 宪法 的 ， 是 “限制 言论 ， 与 第 一 修正 案 不 一 致 "。 诉 讼 尤其 
控诉 了 现 有 的 出 口 控制 过 程 : 





允许 官员 任意 限制 出 版 物 。 


“对 第 一 修正 案 的 权利 没有 有 力 的 程序 上 的 保证 。 


要 求 发 行人 在 政府 注册 ， 产 生 有 效 的 “发 行 许可 ”。 


-不 允许 一 般 性 的 出 版 物 ， 要 求 对 接受 者 逐个 确定 。 


“含糊 不 清 以 致 一 般 人 不 知道 什么 行为 是 允许 的 ， 什 么 行为 是 茶 止 
的 。 
范围 过 三， 对 明显 受 保护 的 行为 加 以 限制 (如 在 美国 国内 与 外 国 


人 交谈 ) ào 


应 用 过 滥 ， 限 制 目前 不 含 密码 ， 但 理论 上 以 后 可 增加 密码 的 软件 
tH A. 





BH 


由 于 蔡 止 关于 密码 学 的 私人 言论 而 极 大 地 违反 了 第 一 修正 
为 政府 希望 用 目 己 的 密码 学 观点 来 引导 公众 。 


出 口 控制 法 很 多 方面 超出 了 国会 赋予 的 权利 ， 同 样 超出 了 委员 会 
赋予 的 权利 。 每 个 人 都 预计 这 场 官司 会 持续 多 年 ， 没 人 知道 结果 会 怎 
样 。 


与 此 同时 ，NIST 的 一 个 官方 顾问 团 ， 计 算 机 安全 和 保密 顾问 团 在 
1992 年 3 月 投票 推荐 了 一 项 国家 性 的 密码 问题 审查 政策 ， 包 括 出 口 政 











策 。 他 们 说 出 口 政 策 只 需要 涉及 国家 安全 的 机 构 来 确定 ， 不 需要 商业 促 
进 机 构 介 入 。 那 些 与 国家 安全 有 关 的 机 构 尽 可 能 地 希望 美国 出 口 政 策 在 
以 后 几 年 中 及 时 调整 。 





25.15 ”其 他 国家 的 密码 进出 口 


其 他 国家 有 自己 的 进出 口 法 规 [31 。 以 下 总 结 并 不 完全 ， 有 可 能 
己 经 过 时 。 其 他 国家 可 能 有 法 规 但 并 未 执行 ， 也 可 能 没有 法 规 但 对 进 
口 、 出 口 和 使 用 加 以 了 限制 。 





澳大利亚 仅 在 出 口 国 的 请 求 下 需要 密码 进口 证 书 。 


-加拿大 没有 进口 控制 ， 出 口 控制 与 美国 类 似 。 加 拿 大 出 口 条 款 将 
服从 限制 ， 如 果 该 条 款 包 含 在 进出 口 允 许 法 案 的 出 口 控制 清单 中 。 加 拿 
大 在 密码 技术 规章 方面 遵从 CoCom 的 规章 。 密 码 设 备 被 划 到 加 拿 大 出 口 
规定 的 第 五 类 中 的 第 二 部 分 ， 这 些 规定 类 似 于 美国 的 出 口 管理 规定 的 第 


五 类 。 








中国 在 商品 进口 方面 有 许可 证 ， 出 口 商 必须 在 对 外 贸易 部 申请 归 
档 。 在 1987 年 颁布 的 中 国 进出 口 禁 止 和 限制 清单 的 基础 上 ， 中 国 限制 语 
首 加 密 设备 的 进出 口 。 


法 国 在 密码 进口 方面 没有 特殊 的 法 规 ， 但 他 们 对 在 国内 销售 和 使 
用 密码 设备 制定 了 法 规 。 所 有 的 产品 必须 被 认证 : 无 论 它们 适应 于 公开 
的 规范 ， 还 是 将 公司 所 有 的 规范 提供 给 政府 。 政 府 也 可 能 要 求 两 套 规范 
以 供 自 己 使 用 。 公 司 在 法 国 国内 销售 密码 产品 必须 获得 许可 ， 许 可 指定 





了 目标 市 场 。 使 用 者 必须 有 购买 和 使 用 密码 设备 的 许可 ， 许 可 包括 一 项 
声明 ， 大 意 是 使 用 者 必须 在 使 用 4 月 后 将 其 密 钥 上 交 政 府 。 这 项 限制 在 
一 些 情况 下 例外 : 银行 、 大 公司 等 。 对 由 美国 出 口 的 密码 设备 没有 许可 
要 求 。 








.德国 遵照 CoCom 的 方针 ， 对 出 口 密码 要 求 许可 。 他 们 特别 坚持 对 
公共 领域 和 大 市 场 的 密码 软件 加 以 控制 。 


以 色 列 有 进口 限制 ， 但 好 像 没 人 知道 有 些 什么 。 


比利时、 意大利 、 日 本 、 和 荷兰 和 英国 在 密码 方面 遵从 CoCom 的 方 
针 ， 要 求 出 口 许可 。 


巴西 、 印 度 、 墨 西 哥 、 俄 罗斯 、 沙 特 阿 拉 伯 、 西 班 直 、 南 非 、 瑞 
典 和 瑞士 在 密码 进出 口 方面 都 没有 限制 。 


25.16 合法 性 问题 


数字 签名 是 真正 的 签名 吗 ? 它们 在 法 庭 上 站 得 住 脚 吗 ? 一 些 刚 起 步 
的 法 律 研究 结果 认为 ， 数 字 签 名 将 满足 大 多 数 在 法 律 上 具有 约束 力 的 签 
名 要 求 ， 包 括 统一 商用 代码 (UCC) 中 定义 的 商业 使 用 。GAO (政府 
结算 办 公 室 ) 根据 NIST 的 请 求 做 了 一 项 决定 ， 认 为 数字 签名 将 满足 手 
写 签名 的 法 律 标准 L362] 。 





犹他 州 数字 签名 法 案 于 1995 年 5 月 1 日 生效 ， 为 在 司法 界 使 用 数字 签 
名 提供 了 合法 的 框架 。 加 利 福 尼 亚 有 一 项 巧 而 未 决 的 法 案 ， 同 时 俄 勒 刚 
州 和 华盛顿 州 正在 编写 自己 的 法 案 。 德 州 和 佛罗里达 州 紧 跟 其 后 。 到 本 
书 出 版 时 ， 更 多 州都 相继 有 法 采 出 台 。 


美国 律师 协会 为 各 州 产生 一 份 法 案 模 版 用 于 各 目的 立法 。 法 案 和 尝试 
将 数字 签名 合并 于 已 存在 的 法 律 中 作为 签名 : 统一 商业 码 、 美 国联 邦 储 
备 规则 、 有 关 合 同和 签名 的 普通 法 律 、 联 合 国 国际 贸易 惯例 、 联 合 国 关 
于 国际 交换 议案 和 国际 许可 委员 会 的 惯例 。 法 案 中 包括 证 书 发 放 机 构 的 
责任 和 义务 、 可 人 靠 性 问题 、 限 制 和 政策 











在 美国 ， 有 关 签 名 、 人 合同 以 及 商业 贸易 的 法 律 都 是 州立 法 律 ， 所 以 
这 个 法 案 模 版 为 各 州 设计 。 最 终 目 标 是 联邦 法 案 ， 但 如 果 这 一 切 由 州 开 
始 ，NSA 就 不 会 有 机 会 破坏 它 。 





即使 数字 签名 的 有 效 性 在 法 寿 上 没有 引起 异议 ， 但 它们 的 合法 地 位 
仍然 没有 确定 。 为 了 让 数字 签名 具有 与 手写 签名 相同 的 权威 性 ， 首 先 必 
须 将 数字 签名 用 来 签 壮 在 法 律 上 具有 约束 力 的 文献 ， 然 后 在 法 姓 上 由 为 
一 方 提 出 质疑 。 法 庭 然后 考虑 该 签名 体制 的 安全 并 发 布 裁决 。 反 复 这 样 
做 多 次 ， 一 批 优先 裁决 将 产生 ， 从 而 对 数字 签名 需要 什么 样 的 数字 签名 
方法 及 密 钥 长 度 才 具有 法 律 约束 力 做 出 要 求 。 这 一 切 仍 需 时 日 。 











至 此 ， 如 末 两 个 人 希望 在 合同 方面 《或 购买 请 求 ， 或 工作 合作 等 ) 
使 用 数字 签名 ， 那 么 建议 他 们 在 书面 合同 上 签名 ， 以 表示 他 们 将 来 同意 
数字 签署 的 任何 文件 “1089」 。 该 文件 指出 了 算法 、 密 钥 长 度 及 其 他 参 
数 ， 并 描述 了 问题 该 怎样 得 到 解决 。 


附录 A MRE 


A.1 DES 


#define ENO 0 /* MODE == encrypt */ 
#define DE1 1 /* MODE == decrypt */ 


typedef struct { 
unsigned long ek[32]; 
unsigned long dk[32]; 
} des_ctx; 


extern void deskey(unsigned char *, short); 

{* hexkey[8] MODE 

* Sets the internal key register according to the hexadecimal 

* key contained in the 8 bytes of hexkey, according to the DES, 
oe encryption or decryption according to MODE. 


extern void usekey(unsigned long *); 

{* cookedkey[32] 

* Loads the internal key register with the data in cookedkey. 
*] 


extern void cpkey(unsigned long *); 
/* cookedkey[32] 


* Copies the contents of the internal key register into the storage 


* located at &cookedkey[0]. 
*/ 


extern void des(unsigned char *, unsigned char *); 
/* from[8] to[8] 


* Encrypts/Decrypts (according to the key currently loaded in the 
* internal key register) one block of eight bytes at address ‘from' 


* into the block at address 'to'. They can be the same. 
*/ 


static void scrunch(unsigned char *, unsigned long *); 
static void unscrun(unsigned long *, unsigned char *); 
static void desfunc(unsigned long *, unsigned long *); 
static void cookey(unsigned long *); 


static unsigned long KnL[32] = { OL }; 

static unsigned long KnR[32] = { OL }; 

static unsigned long Kn3[32] = { OL }; 

static unsigned char Df_Key[24] = | 
0x01,0x23,0x45 ,0x67 ,0x89 ,0xab ,0xcd ,0xef ， 
0xfe,0xdc,0xba,0x98 ,0x76 ,0x54,0x32,0x10， 
0x89 ,0xab,0xcd,0xef ,0x01,0x23,0x45,0x67 |}; 


static unsigned short bytebit[8] = | 
0200, 0100, 040, 020, 010, 04, 02, 01 }; 


static unsigned long bigbyte[24] = { 


0x800000L, 0x400000L, 0x200000L, Ox100000L, 
0x80000L, 0x40000L, 0x20000L, 0x10000L, 
Ox8000L, 0x4000L, 0x2000L, 0x1000L, 
0x800L, Ox400L, 0x200L, 
Ox80L, Ox40L, Ox20L, 


Ox8L, Ox4L, Ox2L, Ox1L j 


0x100L, 
Ox10L, 


/* Use the key schedule specified in the Standard (ANSI X3.92-1981). */ 


static unsigned char pcl[56] = { 
56, 48, 40, 32, 24, 16, 8, 0: 57, 49, ‘41, $3; 25, 17; 
9, 1, EB 50, 42, 334, 26, 18,10, 2,59, Sil, 43). 35, 
62), 54, 46, 38,30, 22, 14,. 6; 61; 53, 45, 37,, 29, 21, 
13, S, 60) 82). 44, SG, 28, 20; 025, #27, 195. ds Stak 


static unsigned char totrot[16] = { 
12, /4.56,.8'.10,12,14,15,17,,19;,21.,23,25,27',28) 1; 


static unsigned char pc2[48] = | 


13}; 16; 10,235. Oe Ms 2. (ry 14 S 20, 95 

oa 26; Th. 3) 25, ay 15,: 6), '26, 19, 22, 1, 

40, 51, 30, 36, 46, 54, 29, 39, 50, 44, 32, 47, 

43, 48, 38, 55, 33, 52, 45 41, 49, 35, 28; 31. 45 
void deskey(key, edf) /* Thanks to James Gillogly & Phil Karn! */ 
unsigned char *key; 
short edf; 


{ 
register int i, j, 1, m, n; 
unsigned char pclm[56], pcr[56]; 
unsigned long kn[32]; 


fort J =O: J < S6s Je): i 
1 = pelti; 
m= 1 & 07; 
penta = (key[1 >> 3] & bytebit{m]) ? 1: 0; 
for( i = 0; i < 16; i++ ) | 
if( edf == DE] J m= (15 - i) «1; 
elsem=i << 1; 
n=m+1; 
kn[m] = kn[n] = OL; 
for{ J = 0; J < 28; jer) { 
1 = j + totrotlil]; 
if( 1 < 28 ) pcr[j] = pclm[1]; 
ad pcr[j] = pclm[1 - 28]; 
for( j = 28; j < 56; j++ ) | 
1 = j + totrotli]; 
if( 1 <56 ) pcr[j] = pclm[1]; 
else pcr[j] = pclm{1 - 28]; 
} 
for( j = 0; j < 24; j++ y| 
if( pcr[pc2[j]] ) kn[m] |= bigbyte[j]; 
if( pcr[pc2[j+24]] ) kn[n] |= bigbyte[j]; 
} 
} 


cookey( kn); 


return; 
} 


static void cookey(rawl) 

register unsigned long *rawl; 

| 
register unsigned long *cook, *raw0; 
unsigned long dough[32]; 
register int i; 


cook = dough; 

for( i = 0; i < 16; i++, rawl++ ) | 
raw0 = rawl++; 
*cook = (*raw0 & 0x00fc0000L) << 6; 
*cook |= (*raw0 & Ox00000fcOL) << 10; 


*cook |= (*rawl & 0x00fc0000L) >> 10; 
*cook++ |= (*rawl & 0x00000fcOL) 
*cook = (*raw0 & Ox0003f000L) << 12; 
*cook |= (*raw0 & 0x0000003fL) << 16; 
*cook |= (*rawl & Ox0003f000L) >> 4; 

*COOK++ |= (*rawl & 0x0000003fL) ; 


} 
usekey(dough) ; 
return; 

} 


void cpkey(into) 
register unsigned long *into; 
{ 


register unsigned long *from, *endp; 


from = KnL, endp = &KnL{32]; 


while( from < endp ) *intot+ = *fromt++; 


return; 
} 


void usekey( from) 
register unsigned long *from; 
{ 
register unsigned long *to, 


to = KnL, endp = &KnL(32]; 
while( to < endp ) *to++ = 
return; 

} 


void des(inblock, outblock) 
unsigned char *inblock, *outblock; 
{ 

unsigned long work[2]; 


scrunch(inblock, work); 
desfunc(work, KnL); 
unscrun(work, outblock); 
return; 


} 


static void scrunch(outof, into) 
register unsigned char *outof; 
register unsigned long *into; 

{ 


*into 
“into: | 


*endp; 


*fromt+; 


(*outoft++ & OxffL) << 24; 
(*outof++ & OxffL) << 16; 


*into |= (*outof++ & OxffL) << 8; 
*intot+ |= (*outof++ & OxffL); 
*into = (*outof++ & OxffLl) << 24; 


*into |= (*outoft++ & OxffL) << 16; 


*into |= (*outoft++ & OxffLl) << 8; 
*xinto |= (*outof & OxffL); 


return; 
} 


Static void unscrun(outof, into) 
register unsigned long *outof; 
register unsigned char *into; 
{ 
*into++ = (*outof >> 24) & 
*into++ = (*outof >> 16) & 


OxffL; 
Oxffl; 


>> 


kintot+ = (*outof >> 8) & 0xffL; 
*jntot+ = *outoft+ & OxffL; 
*intot+ = (*outof >> 24) & Oxffl; 
*into++ = (*outof >> 16) & OxffL; 
xinto++ = (*outof >> 8) & OxffL; 
*into = *outof & OxffL; 

return; 


static unsigned long SP1[64) = | 
Ox01010400L, Ox00000000L, 0x00010000L, 0x01010404L, 
OxD1010004L, 0x00010404L, Ox00000004L, 0x00010000L, 
OxO0000400L, 0x01010400L, 0x01010404L, 0x00000400L, 
0x01000404L, Ox01010004L, Ox01000000L, 0x000000041, 
0x00000404L, Ox01000400L, 0x01000400L, 0x00010400L, 
Ox00010400L, Ox01010000L, 0x01010000L, 0x01000404L, 
0x00010004L, 0x01000004L, 0x01000004L, 0x00010004L, 
OxO0000000L, 0x00000404L, 0x00010404L, 0x01000000L, 
0x00010000L, Ox01010404L, 0x00000004L, 0x01010000L, 
0x01010400L, Ox01000000L, Ox01000000L, 0x00000400L, 
0x01010004L, Ox00010000L, 0x00010400L, 0x01000004L, 
OxO0000400L, Ox00000004L, 0x01000404L, 0x00010404L, 
0x01010404L, Ox00010004L, 0x01010000L, 0x01000404L, 
0x01000004L, 0x00000404L, 0x00010404L, 0x01010400L, 
Ox00000404L, Ox01000400L, 0x01000400L, 0x00000000L, 
0x00010004L, 0x00010400L, Ox00000000L, 0x01010004L |; 


static unsigned long Sp2[64] = | 
0x80108020L, 0x80008000L, Ox00008000L, 0x00108020L, 
0x00100000L, Ox00000020L, 0x80100020L, 0x80008020L, 
Ox80000020L, 0x80108020L, Ox80108000L, 0x80000000L, 
Ox80008000L, Ox00100000L, Ox00000020L, 0x80100020L, 
Ox0010B000L, 0x00100020L, Ox80008020L, 9x00000000L, 
0x80000000L, 0x00008000L, 0x00108020L, 0x80100000L, 
0x00100020L, 0x80000020L, 0x00000000L, 0x00108000L, 
0x00008020L, 0x80108000L, 0x80100000L, 0x00008020L, 
0x00000000L, 0x00108020L, 0x80100020L, 0x00100000L, 
0x80008020L, 0x80100000L, 0x80108000L, 0x00008000L, 
0x80100000L, 0x80008000L, 0x00000020L, 0x80108020L, 
0x00108020L, 0x00000020L, 0x00008000L, 0x80000000L, 
0x00008020L, 0x80108000L, 0x00100000L, 0x80000020L, 
0x00100020L, 0x80008020L, 0x80000020L, 0x00100020L, 
0x00108000L, 0x00000000L, 0x80008000L, 0x00008020L, 
0x80000000L, 0x80100020L, 0x80108020L, 0x00108000L |; 


static unsigned long SP3[64] = | 
0x00000208L, 0x08020200L, 0x00000000L, 0x08020008L, 
0x08000200L, 0x00000000L, 0x00020208L, 0x08000200L, 
0x00020008L, 0x08000008L, 0x08000008L, 0x00020000L, 
0x08020208L, 0x00020008L, 0x08020000L, 0x00000208L, 
0x08000000L, 0x00000008L, 0x08020200L, 0x00000200L, 
0x00020200L, 0x08020000L, 0x08020008L, 0x00020208L, 
0x08000208L, 0x00020200L, 0x00020000L, 0x08000208L, 
0x00000008L, 0x08020208L, 0x00000200L, 0x08000000L, 
0x08020200L, 0x08000000L, 0x00020008L, 0x00000208L, 
0x00020000L, 0x08020200L, 0x08000200L, Ox00000000L, 
0x00000200L, 0x00020008L, 0x08020208L, 0x08000200L, 
0x08000008L, 0x00000200L, 0x00000000L, 0x08020008L, 
0x08000208L, 0x00020000L, 0x08000000L, 0x08020208L, 
0x00000008L, 0x00020208L, 0x00020200L, 0x08000008L, 
0x08020000L, 0x08000208L, 0x00000208L, 0x08020000L, 
0x00020208L, 0x00000008L, 0x08020008L, 0x00020200L |; 


static unsigned long SP4[64) = | 


0x00802001L, 
0x00802080L, 
0x00000000L, 
0x00000081L, 
0x00000001L, 
0x00000080L, 
0x00800081L, 
0x00002000L, 
0x00800080L, 
0x00000081L, 
0x00002080L, 
0x00802001L， 
0x00802081L, 
Ox00800001L, 
0x00002001L, 


Ox00002081L, 
0x00800081L, 
0x00802000L, 
Ox00000000L, 
0x00002000L, 
0x00800000L, 
0x00000001L, 
0x00802080L, 
0x00800001L, 
0x00000000L, 
Ox00800080L, 
0x00002081L, 
0x00000081L, 
0x00002001L, 
0x00002080L, 


0x00002081L, 
0x00800001L, 
0x00802000L, 
0x00800080L, 
0x00800000L, 
0x00002001L, 
0x00002080L, 
0x00802081L, 
0x00802000L, 
0x00000000L, 
Ox00800081L, 
0x00002081L, 
Ox00000001L, 
0x00802080L, 
0x00800000L, 


Ox00000080L, 
Ox00002001L, 
0x00802081L, 
Ox00800001L, 
Ox00802001L, 
Ox00002080L, 
Ox00800080L, 
0x00000081L, 
0x00802081L, 
0x00802000L, 
0x00000001L， 
0x00000080L， 
0x00002000L， 
0x00800081L, 
0x00802001L, 


Ox00000080L, Ox00800000L, 0x00002000L, 0x00802080L |; 


static unsigned long SP5[64] = | 
0x00000100L, Ox02080100L, 
Ox00080000L, Ox00000100L, 
0x40080100L, O0x00080000L, 
0x42000100L, 0x42080000L, 
0x02000000L, Ox40080000L, 
Ox40000100L, 0x42080100L, 
0x42080000L, Ox40000100L, 
0x02080100L, Ox02000000L, 
0x00080000L, 0x42000100L, 
Ox40000000L, Ox02080000L, 
0x02000100L, Ox40000000L, 
0x40080100L, Ox00000100L, 
0x42080100L, 0x00080100L, 
Ox02080000L, Ox00000000L, 
Ox00080100L, 0x02000100L, 
Ox00000000L, Ox40080000L, 


unsigned long SP6[64) = | 
Ox20000010L, Ox20400000L, 
0x20400000L, Oxd0000010L, 
0x20004000L, Ox00404010L, 
0x00400010L, 0x20004000L, 
Ox00000000L, Ox00400010L, 
Ox00404000L, 0x20004010L, 
Ox20400010L, Ox00000000L, 
Ox00004010L, 0x00404000L, 
Ox20004000L, Ox00000010L, 
0x204040101, Ox00400000L, 
0x00400000L, 0x20004000L, 
Ox20000010L, 0x20404010L, 
Ox00404010L, 0x20404000L, 
0x00000010L, 0x00004000L, 
Ox00004000L, 0x00400010L, 
0x20404000L, Ox20000000L, 


unsigned long SP7[64] = | 
0x00200000L, 0x04200002L, 
Ox00000800L, 0x04000802L, 
0x04200802L, 0x00200000L, 
0x00000002L, Ox04000000L, 
Ox04000800L, 0x00200802L, 
0x04000002L, 0x04200000L, 
Ox04200000L, 0x00000800L, 
0x00200800L, 0x00000002L, 


0x42000100L, 
0x02080000L, 
0x40080100L, 
0x40000000L, 
0x00000000L, 
0x02000100L, 
0x42000000L, 
0x00080100L, 
0x02000000L, 
0x40080100L, 
0x02080100L, 
0x42080000L, 
0x42080100L, 
0x42000000L, 
0x00080000L, 
0x40000100L }; 


Ox02080000L, 
0x40000000L, 
0x02000100L, 
0x00080100L, 
0x40080000L, 
0x42080100L, 
0x00000000L, 
0x42000000L, 
0x00000100L, 
0x42000100L, 
0x42080000L, 
0x02000000L, 
0x42000000L, 
0x40080000L, 
0x40000100L, 
0x02080100L, 


static 
0x00004000L, 
0x20404010L, 
0x00400000L, 
Ox20000000L, 
0x20004010L, 
0x00000010L, 
0x00404010L, 
0x20404000L, 
0x20400010L, 
0x00004010L, 
0x20000000L, 
0x00404000L, 
0x00000000L, 
0x20400000L, 
0x20004010L, 
0x00400010L, 


0x20404010L, 
0x00400000L, 
0x20000010L, 
0x00004010L, 
0x00004000L, 
0x20400010L, 
0x20404000L, 
0x20000000L, 
0x00404000L, 
0x20000010L, 
0x00004010L, 
0x20400000L, 
0x20400010L, 
0x00404010L, 
0x00000000L, 
Ox20004010L 1; 


static 
0x04000802L, 
0x00200802L, 
0x00000000L, 
0x04200002L, 
0x00200002L, 
0x04200800L, 
0x00000802L, 
0x04000000L, 


0x00000000L, 
0x04200800L, 
0x04000002L, 
0x00000802L, 
0x04000800L, 
0x00200002L, 
0x04200802L, 
0x00200800L, 


0x04000000L，0x00200800L，0x00200000L，0x04000802L， 
0x04000802L，0x04200002L，0x04200002L，0x00000002L， 
0x00200002L，0x04000000L，0x04000800L，0x00200000L， 
0x04200800L, 0x00000802L, 0x00200802L, 0x04200800L, 
0x00000802L, 0x04000002L, 0x04200802L, 0x04200000L, 
Ox00200800L, Ox00000000L, Ox00000002L, 0x04200802L, 
Ox00000000L, 0x00200802L, 0x04200000L, 0x00000800L, 
0x04000002L, 0x04000800L, Ox00000800L, 0x00200002L }; 


static unsigned long SP8[64] = { 
0x10001040L, Ox00001000L, Ox00040000L, 0x10041040L, 
Ox10000000L, 0x10001040L, 0x00000040L, 0x10000000L, 
0x00040040L, 0x10040000L, 0x10041040L, 0x00041000L, 
0x10041000L, 0x00041040L, 0x00001000L, 0x00000040L, 
Ox10040000L, 0x10000040L, 0x10001000L, 0x00001040L, 
0x00041000L, 0x00040040L, 0x10040040L, 0x10041000L, 
0x00001040L, Ox00000000L, Ox00000000L, 0x10040040L, 
Ox10000040L, Ox10001000L, 0x00041040L, 0x00040000L, 
0x00041040L, Ox00040000L, 0x10041000L, 0x00001000L, 
Ox00000040L, 0x10040040L, 0x00001000L, 0x00041040L, 
Ox10001000L, O0x00000040L, 0x10000040L, 0x10040000L, 
0x10040040L, Ox1l0000000L, 0x00040000L, 0x10001040L, 
OxO00000000L, 0x10041040L, 0x00040040L, 0x10000040L, 
0x10040000L, 0x10001000L, 0x10001040L, Ox00000000L, 
0x10041040L, 0x00041000L, 0x00041000L, 0x00001040L, 
0x00001040L, 0x00040040L, 0x10000000L, 0x10041000L l; 


static void desfunc(block, keys) 

register unsigned long *block, *keys; 

{ 
register unsigned long fval, work, right, leftt; 
register int round; 


leftt = block[0]; 

right = block[1]; 

work = ((leftt >> 4) ^ right) & Ox0fOfOFOFL; 

right *= work; 

leftt ^= (work << 4); 

work = ((leftt >> 16) ^ right) & 0x0000ffffLi; 

right *= work; 

leftt *= (work << 16); 

work = ((right >> 2) ^ leftt) & 0x33333333L; 

leftt *= work; 

right -^= (work << 2); 

work = ((right >> B) ^ leftt) & 0x00ff00ffL; 

leftt *= work; 

right ^= (work << 8); 

right = ((right << 1) | ((right >> 31) & 1L)) & OxfffffffFL; 
work = (leftt ^ right) & OxaaaaaaaaL; 

leftt ^= work; 

right ^= work; 

leftt = (C(leftt << 1) | ((leftt >> 31) & 1L)) & OxfffffffL; 


for( round = 0; round < 8; round++ ) { 
work = (right << 28) | (right >> 4); 
work ^= *keys++; 


fval = SP7[ work & 0x3fL]; 
fval |= SP5[(work >> 8) & Ox3fL]; 

fval |= SP3[(work >> 16) & 0x3fL]; 

fval |= SPl[(work >> 24) & 0x3fL]; 

work = right ^ *keys++; 

fval |= SP8[ work & 0x3fL]; 
fval |= SP6[(work >> 8) & Ox3fL]; 


fval |= 9P4[(work >> 16) & 0x3fL]; 

fval |= SP2[(work >> 24) & 0x3fL]; 
leftt *= fval; 

work = (leftt << 28) | (leftt >> 4); 
work ^= *keys++; 

fval = SP7[ work & Ox3fLI; 
fval |= SP5[(work >> 8) & Ox3fL]; 

fval |= SP3[(work >> 16) & Ox3fL]; 

fval |= SPl[(work >> 24) & Ox3fL]; 

work = leftt * *keys++; 

fval |= SP8[ work & 0x3fL]; 
fval |= SP6[(work >> 8) & Ox3fL]; 

fval |= SP4[(work >> 16) & 0x3fL]; 

fval |= SP2C(work >> 24) & 0x3fL]; 
right ^= fval; 

| 


right = (right << 31) | (right >> 1); 

work = (leftt * right) & OxaaaaaaaaL; 

leftt *= work; 

right ^= work; 

leftt = (leftt << 31) | (leftt >> 1); 

work = ((leftt >> 8) ^ right) & 0x00ff00ffL; 
right ^= work; 

leftt ^= (work << 8); 

work = ((leftt >> 2) * right) & 0x33333333L; 
right *= work; 

leftt *= (work << 2); 

work = ((right >> 16) ^ leftt) & 0x0000ffffL; 
leftt *= work; 

right *= (work << 16); 

work = ((right >> 4) ^ leftt) & OxOfOfOFOFL; 
leftt ^= work; 

right *= (work << 4); 

*block++ = right; 

*block = leftt; 

return; 


~ 
* 


Validation sets: 


Single-length key, single-length plaintext 
Key : 0123 4567 89ab cdef 
Plain : 0123 4567 89ab cde7 
* Cipher : c957 4425 6a5e d31d 


* 


+ + + 人 
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void des_key(des_ctx *dc, unsigned char *key) { 
deskey(key, ENO); 
cpkey(dc->ek); 
deskey(key,DE1); 
cpkey(dc->dk); 
} 


/* Encrypt several blocks in ECB mode. Caller is responsible for 
short blocks. */ 
void des_enc(des_ctx *dc, unsigned char *data, int blocks){ 
unsigned long work[2]; 
int i; 
unsigned char *cp; 


cp = data; 


for(i=0;i<blocks;it++){ 
scrunch(cp,work); 
desfunc(work,dc->ek); 
unscrun(work,cp); 
cp+=8 ; 


} 


void des_dec(des_ctx *dc, unsigned char *data, int blocks){ 
unsigned long work[2]; 
int i; 
unsigned char *cp; 


cp = data; 
for(i=0;i<blocks; i++) { 
scrunch(cp,work); 


desfunc(work,dc->dk); 
unscrun(work,cp); 
cp+=8; 


} 


void main(void){ 
des_ctx dc; 
int i; 
unsigned long data[10]; 
char *cp,key[8] = {0x01,0x23,0x45,0x67 ,0x89,0xab,0xcd,Oxef}; 
char x[8] = {0x01,0x23,0x45,0x67,0x89,0xab,0xcd,0xe7}; 


cp 2; 


des_key(&dc, key); 

des_enc(&dc,cp,1); 

printte*ene(0....7,0..7) = g 

for(i=0;i1<8;it++) printf("%02x ", (Cunsigned int) cp[i])&0x00ff); 
printte*rn") ; 


des_dec(&dc,cp,1); 


printf("Dec(above,0..7) ="); 
for(i=0;i<8; i++) printf("%02x ",((unsigned int)cp[i])&0x00ff); 
printf("\n"); 


cp = (char *) data; 
for(i=0;1<10;it++)dataLlil=i; 


des_enc(&dc,cp,5); /* Enc 5 blocks. */ 
for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 
i1/2,dataLi],datali+1]); 


des_dec(&dc,cp,1); 

des_dec(&dc,cp+8,4); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 
i/2,datali],datali+1]); 


A.2 LOK191 


fHinclude <stdio.h> 


define LOKIBLK 8 /* No of bytes in a LOKI data-block */ 
#define ROUNDS 16 /* No of LOKI rounds */ 


typedef unsigned long Long; /* type specification for aligned LOKI blocks 


extern Long lokikey[2]; /* 64-bit key used by LOKI routines wx: 
extern char *loki_lib_ver; /* String with version no. & copyright 
ifdef _ STOC_ /* declare prototypes for library functions 


extern void enloki(char *b); 

extern void deloki(char *b); 

extern void setlokikey(char key[LOKIBLK]); 

#else /* else just declare library functions extern */ 
extern void enloki(), deloki(), setlokikey(); 

#endif _ STOC 


char P[32] = { 
a1, 23), 15a Zr 30;; 22, 4s. 6. 
29; (21; 13; Sp 28, 20; 12 4, 
a7, 19; Tiy Bip 26, 18, 10, 2, 

25, 12); 9, 1, 24, A S 20 

i 


typedef struct { 
Short gen; /* irreducible polynomial used in this field */ 
short exp; /* exponent used to generate this s function */ 
} sfn_desc; 


sfn_desc sfn[] = { 

/* LOLIIONIT */ 375, 31}, | /* 101111011 */ 379, 31}, 
/* 110000111 */ 391, 31}, { /* 110001011 */ 395, 31), 
/* 110001101 */ 397, 313, i /* 110011111 */ 415, 31}, 
/* 110100011 */ 419, 31}, { /* 110101001 */ 425, 31), 
/* 110110001 */ 433, 31}, { /* 110111101 */ 445, 31}, 
/* 111000011 */ 451, 31}, { /* 111001111 */ 463, 31}, 
/* 111010111 */ 471, 31), { /* 111011101 */ 477, 311, 
/* 111100111 */ 487, 31}, { /* 111110011 */ 499, 31}, 
00, 00) Ly 


typedef struct | 
Long loki_subkeys{ROUNDS]; 


} loki_ctx; 
static Long TGS /* declare LOKI function f */ 
static short s(); /* declare LOKI S-box fn s */ 


#define ROL12(b) b = ((b << 12) | (b >> 20)); 
#define ROL13(b) b = ((b << 13) | (b >> 19)); 


#ifdef LITTLE_ENDIAN 


define bswap(cb) { 
register char cC; \ 
c= cb[0]; cb[0] = cb[3]; cb[3] = c; \ 
c = cb[1]; cb[1] = cb[2]; cb[2] = c; \ 
c = cb(4]; cb[4] = cb[7]; cb[7] = c; \ 
c = cb[5]; cb[5] = cb[6]; cb[6] = c; \ 

} 

#endif 

void 


setlokikey(loki_ctx *c, char *key) 
{ 


register i; 
register Long KL, KR; 
#ifdef LITTLE_ENDIAN 
bswap(key); /* swap bytes round if little-endian */ 
#endif 


i 


*/ 


KL = ((Long *)key)[0]; 
KR = ((Long *)key)(1]; 


for (i=0; i<ROUNDS; i+=4) { /* Generate the 16 subkeys */ 
c->loki_subkeys[iJ] = KL; 
ROL12 (KL) 
c->loki_subkeys[i+1] = KL; 
ROL13 (KL); 
c->loki_subkeys[i+2] = KR; 
ROL12 (KR); 
c->loki_subkeys[i+3] = KR; 
ROL13 (KR); 
} 


#ifdef LITTLE_ENDIAN 

bswap( key); /* swap bytes back if little-endian */ 
#endif 
} 


void 
enloki (loki_ctx *c, char *b) 
{ 

register 1 


register Long L, R; /* left & right data halves */ 
#ifdef LITTLE_ENDIAN 
bswap(b); /* swap bytes round if little-endian */ 
endif 
L = ((Long *)b)(0]; 
R = ((Long *)b)[1]; 
for (i=0; i<ROUNDS; i+=2) { /* Encrypt with the 16 subkeys */ 
L ^= f (R, c->loki_subkeys[i]); 
R ^= f (L, c->loki_subkeys[i+1]); 
} 
((Long *)b)[0] = R; /* Y = swap(LR) */ 
((Long *)b)[1] = L; 
#Hifdef LITTLE_ENDIAN 
bswap(b); /* swap bytes round if little-endian */ 
#endi f 
} 
void 


deloki(loki_ctx *c, char *b) 
{ 


register is 

register Long L, R; /* left & right data halves */ 
#ifdef LITTLE_ENDIAN 

bswap(b); /* swap bytes round if little-endian */ 
#endif 

L = ((Long *)b)(0]; /* LR = X XOR K */ 


R = ((Long *)b)(1]; 


for (i=ROUNDS; i>0; i-=2) { /* subkeys in reverse order */ 
L ^= f(R, c->loki_subkeyslLi-1]); 
R ‘= f(L, c->loki_subkeys[i-2]); 

} 


((Long *)b)[0] = R; /* Y = LR XOR K */ 


((Long *)b)[1] = L; 
| 


#define MASK12 Ox0fff /* 12 bit mask for expansion E */ 

static Long 

fir, K3 

register Long r; /* Data value R(i-1) */ 

Long k; /* Key Ket): FJ 

{ 
Long a, b, Cc; /* 32 bit S-box output, & P output */ 
e=r™ ks /* A= R(i-1) XOR K(i) */ 


/* want to use slow speed/small size version */ 

b = ((Long)s((a & MASK12)) ) | eB = SCECRCT SL TARGET) ey 
((Long)s(((a >> 8) & MASK12)) << 8) | 
((Long)s(((a >> 16) & MASK12)) << 16) 
((Long)s((((a >> 24) | (a << 8)) & MASK12)) << 24); 


perm32(&c, &b, P); /* C = P(S(C E(RCi-1)) XOR K(i))) */ 


return(c); /* f returns the result C */ 
} 


static short s(i) 
register Long i; /* return S-box value for input i */ 
{ 

register short re ¢, v, t: 


short exp8(); /* exponentiation routine for GF(2*8) */ 

e ((i>>8) & Oxc) | (i & 0x3); /* row value-top 2 & bottom 2 */ 
C= (1>>2) & Oxff; /* column value-middle 8 bits */ 
t= (e + Ctr * 17) * Oxtf)) & Oxf /* base value for Sfn */ 

v = exp8(t, sfn[r].exp, sfn[r].gen); /* Sfn[r] = t ^ exp mod gen */ 


return(v); 
} 


#define MSB 0x80000000L /* MSB of 32-bit word */ 
perm32(out, in , perm) 
Long *out; /* Qutput 32-bit block to be permuted y 
Long  *in; /* Input 32-bit block after permutation */ 
char perm[32]; /* Permutation array wp 
{ 
Long mask = MSB; /* mask used to set bit in output */ 
register int i, 0, DÐ; /* input bit no, output bit no, value */ 
register char *p = perm; /* ptr to permutation array */ 
*out = 0; /* clear output block */ 
for (0=0; 0<32; ot+) | /* For each output bit position 0 */ 
i =(int)*p++; /* get input bit permuted to output o */ 
b = (*in >> i) & Q1; /* value of input bit i */ 
if (b) /* If the input bit i is set */ 
*out |= mask; /* OR in mask to output i */ 
mask >>= 1; /* Shift mask to next bit sa 
} 
} 
#define SIZE 256 /* 256 elements in GF(2*8) */ 


short mult8(a, b, gen) 
short a, D; /* operands for multiply */ 


short 


} 


short 
short 
short 
short 
{ 


| 


gen; /* irreducible polynomial generating Galois Field */ 


short product = 0; /* result of multiplication */ 
while(b != 0) | /* while multiplier is non-zero */ 
if (b & 01) 
product “= a; /* add multiplicand if LSB of b set */ 
a <<= 1; /* shift multiplicand one place */ 
if (a >= SIZE) 
a ^= gen; /* and modulo reduce if needed */ 
b >>= 1; /* shift multiplier one place */ 


| 
return(product); 


exp8(base, exponent, gen) 

base; /* base of exponentiation */ 

exponent; /* exponent ia | 

gen; /* irreducible polynomial generating Galois Field */ 

short accum = base; /* superincreasing sequence of base */ 

short result = 1; /* result of exponentiation ap 

if (base == 0) /* if zero base specified then xy 
return(0); /* the result is "0" if base = 0 3 ( 

while (exponent != 0) 4 /* repeat while exponent non-zero */ 
if (( exponent & 0x0001) == 0x0001) /* multiply if exp 1 */ 

result = mult8(result, accum, gen); 

exponent >>= 1; /* shift exponent to next digit */ 
accum = mult8(accum, accum, gen); /* & square */ 


} 
return(result); 


void loki_key(loki_ctx *c, unsigned char *key){ 


setlokikey(c,key); 


void loki_enc(loki_ctx *c, unsigned char *data, int blocks){ 


} 


void 1 


} 


unsigned char *cp; 
int iz 


cp = data; 

for(i=0;i<blocks;i++){ 
enloki(c,cp); 
cp+=8; 


oki_dec(loki_ctx *c, unsigned char *data, int blocks){ 
unsigned char *cp; 
Int: iz 
cp = data; 


for(i=0;i<blocks;i++) { 
deloki(c,cp); 
cp+=8; 


void main(void)| 


loki_ctx 1c; 
unsigned long data[10]; 


unsigned char *cp; 
unsigned char key[] = {0,1,2,3,4,5,6,7}; 
ING. Tes 


for(i=0;1<10;i++) dataliJ=i; 
loki_key(&lc, key); 


cp = (char *)data; 

loki_enc(&lc,cp,5); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x\n", 
i/2,datali],dataCi+l]); 

loki_dec(&lc,cp,1); 

loki_dec(&lc,cp+8,4); 

for(i=0;i1<10;it+=2) printf("Block %01d = %081x %081x\n", 
i/2,data[i],data[i+1]); 


A.3 IDEA 


typedef unsigned char boolean; /* values are TRUE or FALSE */ 
typedef unsigned char byte; /* values are 0-255 */ 

typedef byte *byteptr; /* pointer to byte */ 

typedef char *string;/* pointer to ASCII character string */ 
typedef unsigned short wordl6; /* values are 0-65535 */ 
typedef unsigned long word32; /* values are 0-4294967295 */ 


#ifndef TRUE 

#define FALSE 0 

#define TRUE (! FALSE) 

#endif /* if TRUE not already defined */ 

#ifndef min /* if min macro not already defined */ 
#define min(a,b) ( (a)<(b) ? (a) : (b) ) 

#define max(a,b) ( (a)>(b) ? (a) : (b) ) 

#endif /* if min macro not already defined */ 


#define IDEAKEYSIZE 16 
#define IDEABLOCKSIZE 8 


#define IDEAROUNDS 8 
#define IDEAKEYLEN (6*IDEAROUNDS+4) 


typedef struct{ 
wordl6 ek[IDEAKEYLEN] ,dk{IDEAKEYLEN]; 
hidea_ctx; 


/* End includes for IDEA.C */ 

#ifdef IDEA32 /* Use >16-bit temporaries */ 

#define lowl6(x) ((x) & OxFFFF) 

typedef unsigned int uintl6;/* at LEAST 16 bits, maybe more */ 
#else 

#define 10w16(x) (x) /* this is only ever applied to uintl6's */ 
typedef wordl6 uintl6; 

#endif 


#ifdef SMALL_CACHE 
static uintl6 
mul(register uintl6 a, register uintl6 b) 
{ 
register word32 p; 


p = (word32)a * D; 


if (p) { 


b = lowl6(p); 
a = p>>16; 
return (b = a) + (D < a); 
} else if (a) í 
return 1-b; 
} else { 
return l-a; 
} 
} /* mul */ 


jendif /* SMALL_CACHE */ 


static uintl6 
mulInv(uintl6 x) 
{ 

uintl6 t0, tl; 
uintl6 q, y; 


If Gx <= 4) 

return x; /* 0 and 1 are self-inverse */ 
tl = 0x10001L / x; /* Since x >= 2, this fits into 16 bits */ 
y = 0x10001L % x; 


if (y == 1) 
return lowl6(1-tl); 
t0 =1; 
do { 
Gms Ys 
X=xXBY; 
tO += q * tls 
if (x == 1) 
return t0; 
Ras ip eS 
Y=yRX; 
tl += q * tO; 


} while (y != 1); 
return lowl6(1-tl); 
} /* mukInv */ 


static void 
jideaExpandkey(byte const *userkey, wordl6 *EK) 
{ 

TNE: TE 


for (j=0; j<8; j++) { 
EK[j] = (userkey(0]<<8) + userkey[1]; 
userkey += 2; 

} 

for (i=0; j < IDEAKEYLEN; j++) { 
i++; 
EKLi+7] = EK 
EK += 7 & 8; 
i &= 7; 


[i & 9 | EXTI+1 & 7] o> 7; 


} 
} /* ideaExpandKey */ 


static void 
idealnvertKey(word16 const *EK, word16 DK[IDEAKEYLEN]) 
{ 

int thy 

umMtle tly be +35 

word16 tempLIDEAKEYLEN]; 

wordl6 *p = temp + IDEAKEYLEN; 


mul Inv(*EK++) ; 
s*EKths 

“SEEKER 

= mulInv(*EK++) ; 
t3; 

= t2; 

= tl; 


t2 
t3 


* 
' 
eds tt 
Sect | F A 
i 


for (i = 0; i < IDEAROUNDS-1; i++) { 


tl = *EK+H; 
*--p = *EK++; 
wesp = fls 
tl = mulInv(*EK++); 
te = -EK 
t3 = -*EK++; 
*--p = mulInv(*EK++) ; 
We =p: im 2's 
*- 9D = t3; 
¥--p = tl; 

} 

tl = *EK++; 

*--p = *EK++; 

sep = tl; 

tl = mul Inv(*EK++) ; 

C2 SE RES 

t3 = -EKtt; 

*--p = mulInv(*EK++); 

Edited kan 

tiep me tes 

kb tl; 


/* Copy and destroy temp copy */ 
memcpy(DK, temp, sizeof(temp)); 
for(i=0;i<IDEAKEYLEN; i++) temp[iJ=0; 

} /* ideaInvertKey */ 


#ifdef SMALL_CACHE 
#define MUL(X,y) (x = mul(lowl6(x),y)) 
jelse /* !SMALL_CACHE */ 
#ifdef AVOID_JUMPS 
#define MUL(x,y) (x = lowl6(x-1), t16 = lowl6((y)-1), \ 
t32 = (word32)x*tl6 + x + t16 + 1, x = lowl6(t32), \ 
t16 = t32>>16, x = (x-tl6) + (x<tl6) ) 
jelse /* !AVOID_JUMPS (default) */ 
#define MUL(x,y) \ 
((t16 = (y)) ? \ 
(x=]ow16(x)) ? \ 
t32 = (word32)x*t16, \ 
x = lowl6(t32), \ 
tl6 = t32>>16, \ 
x = (xX-t16)+(x<t16) \ 


(x = bt16) \ 


(x = 1-x)) 
jendif 
jendif 


static void 
ideaCipher(byte *inbuf, byte *outbuf, word16 *key) 
{ 


register uintl6 xl, x2, x3, x4, s2, s3; 
wordl6 *in, *out; 
ifndef SMALL_CACHE 
register uintl6 tl6; /* Temporaries needed by MUL macro 
register word32 t32; 
#endif 
int r = IDEAROUNDS; 


in = (word16 *)inbuf; 

XL Si Anes Ke See 

x3. = *int+; x4 = *in; 
#ifndef HIGHFIRST 


xl = (xl >>8) | (x1<<8); 

K2 = (X2 998) | (228) 

x3 = (x3 >>8) | (x3<<8); 

x4 = (x4 >>8) | (x4<<8); 
#endif 

do { 


MUL(x1, *key++) ; 
xe += t keyrt; 
x3 += *keyt+; 
MUL(x4, *key++); 


$3 = x3; 

x3 “= xl; 
MUL(x3, *key++); 
S2 = x2; 

x2 ^= x4; 

x2 += x3; 
MUL(x2, *key++); 
x3 += x2; 


xl ^= x2; x4 ^= x3; 


x2 ^= s3; xd Ss s2: 
} while (--r); 
MUL(xl, *key++); 
x3 += *key++; 
x2 += *key+*; 
MUL(x4, *key); 


out = (word16 *)outbuf; 
#ifdef HIGHFIRST 
*out++ = xl; 
*outt+ = x3; 
*out++ = x2; 
*out = x4; 
jelse /* !HIGHFIRST */ 
*out++ = (x1 >>8) | (x1<<8); 
*out++ = (x3 >>8) | (x3<<8); 
*outt+ = (x2 >>8) | (x2<<8); 
*out = (x4 >>8) | (x4<<8); 
endif 
} /* ideaCipher */ 


void idea_key(idea_ctx *c, unsigned char *key){ 
ideaExpandKey(key,c->ek); 
idealnvertKey(c->ek,c->dk); 

} 


void idea_enc(idea_ctx *c, unsigned char *data, int blocks){ 
TGs IE 
unsigned char *d = data; 


for(i=0;i<blocks;i++){ 
ideaCipher(d,d,c->ek); 
d+=8; 


} 


void idea_dec(idea_ctx *c, unsigned char *data, int blocks){ 
ing is 
unsigned char *d = data; 


for(i=0;i<blocks;i++){ 
ideaCipher(d,d,c->dk); 
d+=8 ; 


} 
#include <stdio.h> 


#ifndef BLOCKS 
#ifndef KBYTES 
#define KBYTES 1024 
#endif 
#define BLOCKS (64*KBYTES) 
#endif 
int 
main(void) 
{ /* Test driver for IDEA cipher */ 
NE ds: Je Ke 
jdea_ctx es 
byte userkey([16]; 
wordl6 EKCIDEAKEYLEN], DK[IDEAKEYLEN]; 
byte XX(8], YY[8], 22[8]; 
word32 long_block[10]; /* 5 blocks */ 
long l; 
char *1bp; 


/* Make a sample user key for testing... */ 
for(i=0; 1<16; i++) 
userkey[i] = i+l; 


idea_key(&c,userkey); 


/* Make a sample plaintext pattern for testing... */ 
for (k=0; k<8; k++) 
XX[k] = k; 


idea_enc(&c,XX,1); /* encrypt */ 


lbp = (unsigned char *) long_block; 

for(i=0;1<10;i++) 1ong_block[i] = i; 

idea_enc(&c,]bp,5); 

for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 
1/2,long_block[i], long_block[i+1]); 


idea_dec(&c,]bp,3); 
jdea_dec(&c, ]bp+24,2); 


for(i=0;1<10;i+=2) printf("Block %01d = %081x %081x.\n", 
i/2,long_block{i],1long_block[i+l]); 


return 0; /* normal exit */ 
} /* main */ 


A.4 GOST 


typedef unsigned long u4; 
typedef unsigned char byte; 


typedef struct { 
u4 k[8]; 
/* Constant s-boxes -- set up in gost_init(). */ 
char k87(256],k65(256] ,k43(256] ,k21[256]; 

} gost_ctx; 


/* Note: encrypt and decrypt expect full blocks--padding blocks is 
caller's responsibility. All bulk encryption is done in 
ECB mode by these calls. Other modes may be added easily 
enough. xj 

void gost_enc(gost_ctx *, u4 *, int); 

void gost_dec(gost_ctx *, u4 *, int); 

void gost_key(gost_ctx *, u4 *); 

void gost_init(gost_ctx *); 

void gost_destroy(gost_ctx *); 


#ifdef _alpha /* Any other 64-bit machines? */ 
typedef unsigned int word32; 

#else 

typedef unsigned long word32; 

#endif 


kboxinit(gost_ctx *c) 
{ 


int i; 
byte! kell = 414, 4,13; 2, 2, 15,10, 6, (3). 10, 6, 
12, S; 9, Of 7 IS 
byte: kieI = 115 Tp, g M; 6,01; 3. 4. %, 7 2 
UR Teer Oi, <i. Os 
byte: K6CI6] = (10, 0, 9), 24, 6,, 3,25, 5, Ty 13, 22, 
fA, Cs. OFS 
byte: k5[i6] = { 7, 13,44, 3, ©, 6, 9, 20, J, 2 $, 
S. 1, dey A, OS ts 
byte: kat Tl = { 2, Fz, 4, |, A, 10, dd, 6, 18) 5, 3, 
15, By 0, 14, 9 ts 
byte: KSEI6}: = 122, 14 10, 25, 9, 2 6, & 0, TS, 3, 
4, 14, 7, 5; Th ts 
byte: KECIGT = 4, 12, 2 14, 2S, 0, 8 13, 3.42, S 
Ps S10, 6, 1 
byte: KILIG = t13, Ws 8, r On lsri 2 105 L 3; 
14, 165. Oy Te wide 


for (i = 0; i < 256; i++) | 
c->k87[i] = k8[i >> 4] << 4 | 
c->k65[i] = k6[i >> 4] << 4 | 
c->k43[i] = k4[i >> 4] << 4 | k3[i & 15]; 
c->k21[i] = k2[i >> 4] << 4 | KILI 


} 


static word32 
f(gost_ctx *c,word32 x) 
{ 
x = C->kK87[x>>24 & 255] << 24 | c->k65[x>>16 & 255] << 16 | 
c->k43[x>> 8 & 255] << 8 | c->k21[x & 255]; 


/* Rotate left 11 bits */ 


return x<<11 | x>>(32-11); 
| 


void gostcrypt(gost_ctx *c, word32 *d){ 
register word32 nl, n2; /* As named in the GOST */ 


nl = d(0]; 
n2 = d[1]; 


/* Instead of swapping halves, Swap names each round */ 
nê ^= f(c,nl+c->k[0]); nl ^= f(c,n2+c->k[1]); 
n2 ^= f(c,nl+c->k[2]); nl ^= f(c,n2+c->k[3]); 
n2 ^= f(c,nl+c->k[4]); nl ^= f(c,n2+c->k[5]); 
n2 ^= f(c,nl+c->k[6]); nl ^= f(c,n2+c->k[7]); 


n2 ^= f(c,nl+c->k[0]); nl ^= f(c,n2+c->k[1]); 
n2 *= f(c,nlt+tc->k[2]); nl *= f(c,n2+c->k[3]); 
n2 ^= f(c,nl+c->k[4]); nl ^= f(c,n2+c->k[5]); 
n2 ^= f(c,nl+c->k[6]); nl ^= f(c,n2+c->k[7]); 


n2 *= f(c,nlt+c->k(0]); nl “= f(c,n2+c->k[1]); 
n2 *= f(c,nl+c->k[2]); nl *= f(c,n2+c->k[3]); 
n2 ^= f(c,nl+c->k[4]); nl ^= f(c,n2+c->k[5]); 
n2 *= f(c,nl+c->k[6)); nl *= f(c,n2t+c->k[7]); 


n2 ^= f(c,nl+c->k(7J]); nl ^= f(c,n2+c->k[6]); 
n2 ^= f(c,nl+c->k(5]); nl ^= f(c,n2+c->k[4]); 
n2 “= f(c,nl+c->k[3]); nl ^= f(c,n2+c->k(2]); 
n2 ^= f(c,nl+c->k[1]); nl ^= f(c,n2+c->k[0]); 


d[0] = n2; d[1] = nl; 
} 


void 
gostdecrypt(gost_ctx *c, u4 *d){ 
register word32 nl, n2; /* As named in the GOST */ 


nl = d[0]; n2 = d[1]; 


n2 ^= f(c,nl+c->k[0]); nl ^= f(c,n2+c->k[1]); 
n2 *= f(c,nl+c->k(2]); nl *= f(c,n2+c->k[3]); 
n2 ^= f(c,nl+c->k[4]); nl ^= f(c,n2+c->k[5)); 
n2 ^= f(c,nl+c->k[6]); nl ^= f(c,n2+c->k[7]); 


n2 ^= f(c,nl+c->k[7]); nl t= f(c,n2+c->k[6)); 
n2 ^= f(c,nl+c->k[5]); nl ^= f(c,n2+c->k[4]); 
n2 ^= f(c;nl+c->k[3]); nl ^= f(c,n2+c->k[2]); 
ne ^= f(c,nl+c->k({1J]); nl ^= f(c,n2+c->k[0J); 


n2 ^= f(c,nlt+c->k[7]); nl ^= f(c,n2+c->k[6)); 
n2 ^= f(c,nl+c->k(5J); nl ^= f(c,n2+c->k[4]); 
nè ^m f(c,nl+c->k[3]); nl ^= f(c,n2+c->k[2])); 
n2 ^= f(c,nlt+c->kL1]); nl ^= f(c,n2+c->k[0]); 


n2 ^= f(c,nitc->k[7]); nl *= f(c,n2+c->k[6)); 
n2 ^= f(c,nlt+c->k(5]); nl ^= f(c,n2+c->k[4]); 
n2 Am f(c,nl+c->k(3]); nl *= f(c,n2+c->k[2]); 
n2 Am f(c,nitc->k[1]); nl *= f(c,n2+c->k[0)); 


alo] = n2; d[1] = ni; 
} 


void gost_enc(gost_ctx *c, u4 *d, int blocks){ 
int “ts 


for(i=0;i<blocks;it+){ 
gostcrypt(c,d); 
dt+=2; 


} 


void gost_dec(gost_ctx *c, u4 *d, int blocks){ 
Tne. 13 


for(i=0;i<blocks;it++) { 
gostdecrypt(c,d); 
d+=2 ; 
} 


void gost_key(gost_ctx *c, u4 *k){ 

int i: 

for(i=0;1<8; i++) c->k[i]=k[i]; 
} 


void gost_init(gost_ctx *c){ 


kboxinit(c); 
} 


void gost_destroy(gost_ctx *c)|{ 

ane: T's 

for(i=0;1<8;i++) c->k[i]=0; 
} 


void main(void){ 
gost_ctx gc; 
u4 k[8],data[10]; 
mE i; 
/* Initialize GOST context. */ 
gost_init(&gc); 


/* Prepare key--a simple key should be OK, with this many rounds! */ 
for(i=0;i1<8;i++) k[i] = i; 
gost_key(&gc,k); 


/* Try some test vectors. */ 
data[0] = 0; data[1] = 0; 


gostcrypt(&gc, data); 
printf("Enc of zero vector: %081x %081x\n",data({0],data(1l]); 
gostcrypt(&gc, data); 
printf("Enc of above: %081x %081x\n",datal0],data[1]); 


data[0] = Oxffffffff; data[1] = Oxffffffff; 

gostcrypt(&gc, data); 

printf("Enc of ones vector: %081x %081x\n",datal0],data{l]); 
gostcrypt(&gc, data); 

printf("Enc of above: %081x %081x\n" ,data[0],data[1]); 


/* Does gost_dec() properly reverse gost_enc()? Do 
we deal OK with single-block lengths passed in gost_dec()? 
Do we deal OK with different lengths passed in? */ 


/* Init data */ 
for(i=0;1<10;i++) dataliJ=i; 

/* Encrypt data as 5 blocks. */ 
gost_enc(&gc,data,5); 


/* Display encrypted data. */ 
for(i=0;1<10;i+=2) printf( "Block 402d = %081x %081x\n", 


i/2,data[i],data[fi+l]); 


/* Decrypt in different, sized chunks. */ 

gost_dec(&gc,data,1); 

gost_dec(&gc,datat2,4); 
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/* Display decrypted data. */ 

for(i=0;1<10;i+=2) printf("Block %02d = %081x %081x\n", 
i/2,data[i],data[i+1]); 


gost_destroy(&gc); 


A.5 BLOWFISH 


#include <math.h> 
#Hinclude <stdio.h> 
#include <stdlib.h> 
#include <time.h> 
#ifdef little_endian 

#include <alloc.h> 
#endif 


/* Eg: Intel */ 


#include <ctype.h> 


#ifdef little_endian 
#Hinclude <dir.h> 
#Hinclude <bios.h> 

#endif 


/* Eg: Intel */ 


#ifdef big_endian 
#include <Types.h> 
#endif 


typedef struct 1 
unsigned long S[4][256],P[18]; 
| btf_etx: 


#define MAXKEYBYTES 56 
// define little_endian 1 
#define big_endian 1 


/* 448 bits */ 
/* Ege Intel */ 
/* Eg: Motorola */ 


void Blowfish_encipher(blf_ctx *,unsigned long *xl, unsigned long *xr); 
void Blowfish_decipher(blf_ctx *, unsigned long *xl, unsigned long *xr); 


#define N 16 
#define noErr 0 
#define DATAERROR -1 
define KEYBYTES 8 
FILE* SubkeyFile; 


unsigned long F(blf_ctx *bc, unsigned long x) 
{ 


unsigned 
unsigned 
unsigned 
unsigned 
unsigned 
d = 
x >>= 8; 


short a; 
short b; 
Short c; 
short d; 
long y; 


x & 0x00FF; 


c = x & 0x00FF; 


x >>= 8 
b= 


x & 0x00FF; 


x >>= 8; 

a = x & 0x00FF; 

//y = ((S[0][a] + S[1][b]) ^ S[2][c]) + S[3][d]; 
y = bc->S[0][a] + bc->S[1][b]; 


y= y * Beas Aic 
y= y he rsL3)td]s 
return y; 


} 


void Blowfish_encipher(blf_ctx *c, unsigned long *xl, unsigned long *xr) 
{ 

unsigned long Xl; 

unsigned long Xr; 

unsigned long temp; 


short {$ 
XI = *x1; 
Xr = *xr; 


Tor (i = Qs T SONG FEET) { 
Xl = X1 * c->PLi); 
Xr = F(c,X1) © Xr; 


temp = Xl; 

XI = Xr; 

Xr = temp; 
} 


temp = Xl; 
XI = Xr; 
Xr = temp; 


Xr = Xr ^ c->PCN]; 
Xl = X] ^ c->P(N + 1]; 


*x] = Xl; 
exer = Xs 


| 


void Blowfish_decipher(blf_ctx *c, unsigned long *x1, unsigned long *xr) 
{ 

unsigned long XI; 

unsigned long Xr; 

unsigned long temp; 

short 1; 


X] = *xl; 
A = eps 
for (1 = N+ 13 1 = l; cet) f 
Xl = X] ^ c->PCil; 
Kr = FCC x1) A KP; 


/* Exchange XI and Xr */ 


temp = Xl; 
XI = Xr; 
Xr = temp; 


} 


/* Exchange X] and Xr */ 
temp = X1; 

XI = Xr; 

Xr = temp; 


Xr = Xr * c->P{1); 
KI = X1 a c->P(0); 


#31 = X13 
txr = Xr; 


short InitializeBlowfish(blf_ctx *c, char key[], short keybytes) 


short 
short 
short 
short 
short 


unsigned long data; 


unsigned long datal; 
unsigned long datar; 


unsigned long ksO[] = | 


Oxd1310ba6, 
Oxba7c9045, 
0x636920d8, 
Ox718bcd58, 
Oxc5d1b023, 
Ox6c9e0e8b, 
0xe65525f3, 
Oxb4cc5c34, 
Ox2ba9c55d, 
0x74a325381, 
0x61d809cc, 
Oxdc262302, 
Ox2e0b4482, 
0x670c9c61, 
Ox6eefObéc, 
0x66ca593e, 
Oxe06f75d8, 
Oxlbfedf72, 
0x075372c9, 
0x976ce0bd, 
0x68fb6faf ， 
Oxcc814544, 
OxcOcba857, 
Oxd6al00c6, 
Ox3c7516df, 
0x53317b48, 
Oxd542a8f4, 
Oxelffa35d, 
0x9a53e479, 
0x62fb1341, 
Ox95dbda4c, 
Ox8e3c5b2f, 
Ox4fad5ea0, 
Oxea752dfe, 
Oxb4a84fe0, 
Ox93cc7314, 
OxebcdafOc, 
0x226800bb, 
0x78¢14389, 
0x11c81968, 
0xd60f573f, 
0xf296ec6b, 
0x53b02d5d, 


0x6a267e96, 
Ox858efclé, 
0x728eb658, 
Ox2af26013, 
0x603a180e, 
0x55605c60, 
Ox2aab10b6, 
Ox636fbe2a, 
Ox6c24cfSc, 
0x66282193, 
0xe98575b1, 
0x83f44239, 
Oxf6e96c9a, 
0xab$133a3, 
0x39af0176, 
Ox3b8b5ebe, 
0x363f7706, 
Ox49f1c09b, 
Oxb6794c3b, 
0x196a2463, 
Ox9D30952c, 
0x192e4bb3, 
0x1a603208, 
Oxdb3222f8, 
Oxfd238760, 
Oxdf1769db, 
Oxbbea5&c8, 
0x2dd1d35b, 
Oxa4cb7e33, 
Ox2bfllfo4, 
Oxafc725e0, 
Ox900dFOlc, 
Oxbe0el777, 
Oxce89e299, 
0x80957705, 
Oxfb9d35cf, 
0x2071b35e, 
Ox59dfabaa, 
Ox6295cTa9, 
0x9a532915, 
0x571be91f, 
0xc5855664, 


unsigned long ksif] = | 


Ox4b7a70e9, 
0Dx9ces60b8， 
0x193602a5, 
Dx6b8feéad6, 
Dx4cdd2086, 
Dx3c971814, 
0x3e07841c, 
OxfOlclf04, 
Oxd19113f9, 
Oxc8b57634, 
Oxe238cd99, 
Ox6f420d03, 
OxdeSa771f, 
OxSOladdesé, 
Oxec7aec3a, 
Oxcd433b37, 
Ox7ldff89e, 
0x3c11183b, 
0x86e34570, 
Ox2965dcb3, 
Oxc6150eba, 
0x1939260f, 
Oxe3be4595, 
0x65582185, 
0x1521b628, 
Ox0334fele, 
OxeeccBbbc, 
0xa02369b9, 
Ox9b540b19, 
Oxlled935f, 
0x57 f584a5, 
Ox8fd948e4, 
0x5d4al4d9, 
Oxdb6c4f15, 
Oxd81e799e, 
OxfcB883ac, 
0x095bbf00 ， 
Oxidadf43e, 
Ox7cde3759, 
OxeSef dass, 
Ox9e447a2e, 
Ox675fda79, 
Oxl53e2le7, 


OxbSb32944, 
Ox8fedb266, 
0x75094c29, 
Ox99F73Ffd6, 
Ox9470eb26, 
Ox6b6a/0al, 
Ox/fdeaedc, 
Ox0200b3F Ff, 
Ox7ca92 fff, 
Ox9af3dda7, 
Ox3beade?f, 
Oxfé60a04bf, 
Oxd9930810, 
0x9f84cd87, 
Oxdb85ldfa, 
Ox24c2bal6, 
Ox10314e55, 
0x5924a509, 
Oxeaed6fbl, 
Ox99e71d0F, 
Ox94e2ea78, 
0x19c27960, 
Oxa67bc8s3, 
Ox68ab9802, 
0x29076170, 
Oxaa0363cf, 
Ox60622ca7, 
Ox655abb50, 
0x875fa099, 
0x16681281, 
0x1b227263, 
Ox60dbc3128, 
Oxe864b7e3, 
Oxfacb4fdd, 
Ox86854dc7, 
Oxclc7b6a3, 
Oxad19489d, 
0x233f7061, 
Oxcbee7460, 
0x61099735, 
0xc3453484, 
0xe3674340, 
Ox8fbO3d4a, 


unsigned long ks2[] = | 


Oxe93d5a68, 
Oxbef46bZe, 
Oxle39féZe, 
0x70f4ddd3 ， 
Ox96eb27b3, 
Ox0a2cBéda, 
Ox4f3ffeaz, 
Oxce78a39S, 
Oxlac9faf?, 
0x6841e747, 
0x55533a3a, 
Oxcca92963, 
Oxfdf8e802, 
0x48c1133f， 
0x325f51eb， 
0xdff8e8a3, 
Ox6b2395e0, 


0x948140f7, 
0xd4a20068, 
0x97244546, 
Ox66a02f45, 
0x55fd3941, 
Qxe9b66dfb, 
OxeB87adBc, 
Ox406b2a42, 
Ox4b6d1856, 
Oxca7820fb, 
0x20838d87, 
0x99eldb33, 
0x04272f70, 
Oxc70fB6dc, 
0xd59bc0dl ， 
0xlf536clb， 
0x333e92el ， 


Oxdb75092e, 
Oxecsa8e71, 
0xa0591340, 
Oxaid29c07, 
Ox6382e9c6, 
0x687f3584, 
OxSe7d44ec, 
Oxaedef5la, 
0x94324773, 
0xe9446146, 
Ox3280bbal , 
Ox2cb81290, 
Oxb38bael2, 
0x7a584718, 
0x63094366, 
0x12a14d43, 
OxBlac77a6, 
Oxf28febed, 
OxB60e5e0a, 
Ox803e89d6, 
Dxasfc3c53， 
0x5223a708, 
Oxb17f37d1, 
Oxeeceadof, 
Oxecdd4775, 
0xb5735c90, 
Ox9cabScab, 
0x406854a32, 
Ox95f7997e, 
0x0e358829, 
Ox9b83c3ff, 
Ox58ebf2er, 
0x42105d14, 
Oxc742f442, 
Oxe44b4/6a, 
Ox7#1524c3, 
0x1462b174, 
0x3372f092, 
0x4085f2a7, 
Oxa969a7aa, 
Oxfdd56705, 
Oxc5c43465, 
Oxebe39f2b, 


Oxf64c26Ic, 
0xd4082471, 
Ox14214f74, 
OxbfbcO9ec, 
Oxda254726, 
Ox68de1462, 
Oxb58ce006, 
Ox20fe9e35, 
0x26236631, 
Oxfb0afSde, 
Oxfe6ba9b7, 
Oxa62a4a56, 
Ox80bb155c, 
0x07f9c9ee， 
Oxf2bcc18F, 
OxOelZb4c2, 
Ox3b240d62, 


0xc4192623, 
0x699a17ff, 
Oxe4183a3e, 
Oxefe830F5, 
OxO2ZleccSe, 
Ox52a0e286, 
Ox5716f2be, 
Ox3cb574b2, 
Ox22f54701, 
Oxdfa0030e, 
Qx183eb331, 
Ox24977¢79, 
Oxdecf3f2e, 
0x7408dal?7, 
Oxc464c3d2, 
Ox2a65c451, 
0x5f11199b, 
Ox97flfbfa, 
Ox5a3e2ab3, 
0x5266c825, 
OxleDda2df4 ' 
Oxf71312b6, 
Ox018cff28, 
Oxdb2f953b, 
0x619f1510, 
0x4¢70a239, 
Oxb2f3846e, 
Ox3c2ab4b3, 
Ox623d7da8, 
Oxc7eblfd6, 
Oxlac24696, 
Ox34c6ffea, 
O0x203e13e0, 
OxefGabbbS, 
0x3d816250, 
Ox69cb7492, 
0x23820200, 
Ox8d937e41, 
Oxce??326e, 
Oxc50c06c2, 
OxGeleSec9, 
0x713e38d8, 
OxdbS3adf71; 


0x94692934, 
Ox3320F 46a, 
Oxbf8b9840, 
Ox03bd9785, 
Oxabcadada, 
0xd7486900, 
Ox7af4d6b6, 
Oxd9f385b9, 
Oxeae397b2, 
Oxd8feb397, 
Oxd096954b, 
0x3f3125f9, 
0x05282ce3, 
0x41041f0f, 
0x41113564, 
0x02e1329e, 
Oxeebeb922, 


0Dxad6ea5b0 ， 
0x5664526c, 
Ox3f54989a, 
Ox4d2dgse6, 
Ox0968603T, 
0xb79c5305, 
0xb03ada37 ， 
0x25837258, 
Oxdae5e581, 
Oxecc&c73e, 
0x4e548b38, 
0x5679b072, 
0x5512721f, 
Oxbe9f9abc, 
Oxeflcl847, 
0x50940002, 
0x043556f1, 
OxSebabf2c, 
Ox771lfe7ic, 
Ox2e4cc978, 
Oxf2f74ea7, 
Oxebadfe6be, 
Oxc332ddef, 
Ox2aef7dad, 
0x13cca830, 
Oxd59e9e0b, 
Ox648pleaf, 
Ox319ee9d5, 
Oxf837889a, 
Ox96dedfal, 
Oxcdb30seb, 
Oxfe28ed6l, 
Ox45eee?b6, 
Ox654f3bid, 
Oxcf62alf2, 
Ox47848a0b, 
0x58428d2a, 
Oxd65fecfl, 
0xa6078084, 
Ox5a04abfc, 
0xdb73dbd3 ， 
0x3d28f89e ， 


0x411520f7, 
Ox43b7d4b7, 
Ox4c95fcld, 
Ox? fac6ddd, 
0x28507825, 
0Dx680ec0a4， 
0xaacele7c， 
Oxee39d7ab, 
Ox3abefa74, 
0x454056ac, 
0x55a867bc, 
OxSef47elc, 
0x95c11548, 
0x404779a4, 
0x25757834, 
Oxaf664fdi, 
0x8552a20e, 


Ox49e7dfld, 
Oxc2p19ee1, 
0x5b429065, 
Oxf0255dcl, 
Dx3ebaefc9， 
Oxaa500737, 
Oxf0500c0d, 
OxdcO921bd, 
Ox37c2dadc, 
0xa4751641, 
Ox476db908, 
0xbcaf89af, 
Ox2e6b7124, 
0xe94b7d8c, 
0x3215d908, 
Oxl33ee4dd, 
Oxd7a3c76b, 
Oxlel53c6e, 
Ox4e3d06fa, 
Ox9c1l0b36a, 
O0x361d2b3¢, 
Oxeac31f66, 
Oxbe6cSaas, 
Ox5b6e2f84, 
Oxeb61bd96, 
Oxcbaadel4, 
Oxl9bdfOce, 
OxcO21b8f7, 
0x97e32077, 
0x7858ba99, 
0x532e3054, 
Oxee7c3c73, 
Oxa3aaabea, 
Ox4icd2105, 
0x5d8d2646, 
0x5692b285, 
Ox0cS5f5ea, 
Ox6c223bdb, 
0x19f8509e, 
Ox800bcadc, 
0x105588cq, 
Oxflédff20, 


Ox7602d417, 
0x500061af, 
0x96b591af, 
0x31cb8504, 
0x530429f4, 
Ox27alS8dee, 
Oxd3375fec, 
Ox3b124e8b, 
Oxdd5b4332, 
0xba489527, 
0xa1159a58, 
0x9029317c, 
Oxe4c66d2?, 
Ox5d886el7, 
0x602a9c60, 
Oxcad18115, 
OxeSbadd9s, 


Oxde720c8c, 
0x5449a36f, 
Ox3a6f6eah, 
Oxc67b5510, 
Oxb5390f92, 
Oxbb132788, 
0x8026e297, 
0x6a124237, 
0x3d25bdd8, 
Ox64af674e, 
0x60787bf8, 
0x83426b33, 
0x55464299, 
0x5366f9c3, 
Ox846a0e79, 
Oxb90bacel, 
Ox662d09a1, 
Oxlab93did, 
Oxale2ce9b, 
Ox9af88e27, 
0x006058aa, 
OxbbcbeeS6é, 
0x39720a3d, 
0xed545578, 
0xa2851409, 
0xd79a3234, 


Ox2da2t728, 
0x877d48fa, 
Oxf4F8Fd37, 
0x6d672¢37, 
0x690fed0b, 
0x515bad24， 
Oxf42e312d, 
Oxb79251e7, 
Oxe2elc3c9, 
Oxdaboapht, 
0x6003604¢, 
OxfOleab71, 
Oxbf582e61, 
Oxc8b38e74, 
0x915f95e2, 
Oxbd8205d0, 
0xc4324633, 
OxObada4df, 
Ox4fcd7F52, 
Ox773f8641, 
Ox30de7d6?, 
Ox9Dbcbéde, 
Ox7c927c24, 
Ox08fca5b5, 
0x6c51133c, 
0x92638212, 


unsigned long ks3[] = | 


0x3a39ce37, 
0xd3822740, 
Oxb78c1b6b, 
Oxc6a376d2, 
0x2939bbdb, 
Ox63ef8ce2, 
Dx83c061ba, 
Ox4ba99586, 
0x80e4a915, 
Ox2cfOb7d9, 
Oxlf9f25cf, 
0x47b0acfd， 
0x785f0191, 
0x034a16125, 
Oxlb3f6d9b, 
0x03563482, 
Ox4de81751, 
OxS5l2iceé4, 
Oxa2ae0810, 
Ox586cdecf, 
Oxdda26a7e, 
Ox8d6612ae, 
Ox740e0d8a, 
Ox34d2466a, 
Ox6f3f3b82, 
Oxbb3a7$2b, 
OxeOlcc87e, 
OxdOdadecd, 
0xf79e59b7， 
Ox0fSlfc71, 
Oxb6c1075e, 
Ox4cS8aCbe, 
Oxlb0a/441, 
0xe6Db6f47， 
0x1618b166, 


Oxd3fafSef, 
Ox99bc9bbe, 
0x21a19045, 
0x6549c2c8, 
Oxa9ba4650, 
Ox9a86ee22, 
Ox9be96a4d, 
Oxef$562e9, 
0x87b08601, 
Ox022D8b51, 
Oxadf2D89b, 
Oxed93fa9b, 
Oxed756055, 
Ox0S64f0b¢d, 
Oxle6321f5, 
Ox8aba3cbb, 
Ox3830dc8e, 
Ox774fbe32, 
Oxdd6db224, 
Oxlc20cBae, 
Ox3a59fF45, 
Oxbf3chf4s7, 
Oxe75b1357, 
Ox0115af84, 
Ox3520ab82, 
0x344525bd, 
Oxbec7d1f6, 
Oxd50ada38, 
0x43f5bb33 ， 
0x3b941525 ， 
Oxe30S6a0c, 
0x32782964, 
Ox4ba33948c, 
0x0fe3fIld， 
0xfd2cid05， 


Oxd0127845, 
Oxc39dfd27, 
OxaBl2dc60, 
0x2765d43b, 
Ox667b9ffb, 
Ox7b9479bf, 
Ox6842ada/7, 
Ox06albbe6, 
0x44421659, 


Oxbebfedsa, 
Oxd1 £48346, 
Oxb0804187, 


Ox4e58f48F, 
Oxb475255, 
0x466e598e, 
0x11a86248, 
OxebSalf02, 
0xal86f20f ， 
Ox50115e01, 
Oxc3604c06, 
Ox1l1le69ed7, 
Oxebfc?dal, 
0x86e3725f, 
Oxd83d7cd3, 
Ox6fd5c7e7, 
Ox670efade, 


Oxabc27737, 
Oxd$118e9c, 
Oxp26enlbe, 
Ox530f fBee, 
Oxac9526e8, 
OxcO89c2b8, 
Ox8fe51550, 
Oxc72fefd3, 
Ox9b09e6ad, 
Ox96d5ac3a, 
Ox5ad65472, 
Oxesa3c48d, 
Oxf7960e44, 
Oxc3eb9e15, 
Oxf59c66fb, 
Ox28517711, 
0x379d5662, 
Oxa8b6e37e, 
Ox69852cfd, 
OxSobef7dd, 
Ox3e350a44, 
Oxd29be463, 
Oxf8721671, 
Oxe1b00428, 
OxOllald4b, 
0xa08839e1, 
Oxcf0illc3, 
0x0339c32e, 
Oxf2d519fF, 
Oxfae59361, 
0x10d25065, 
0x9f1f9532, 
0xt5de7120, 
Oxe54cda54, 
Ox848fd2c5, 


Dx95b794fd ， 
Oxf33e8dle, 
Oxalebddfa, 
Oxdced0e804 , 
Oxcedb7d9c, 
Ox763bd6eb, 
Oxc6ba2b3b, 
Ox4bfb6350, 
0x0a121386, 
Ox64e4c3fe, 
Oxf6381Fb0, 
Ox3c005e5F, 
Oxf2ddfda2, 
Ox46fcd9b9, 
0x20b45770, 
0x7574299e, 
Ox09FODe8c, 
Ox2868F169, 
Ox270683fa, 
0x61a80665, 
0x2338ea63, 
OxceS91d76, 
Dx724d9d59 ， 
Ox4dad0fe4, 
Ox56eldec4, 


Ox406000e0) ; 


Ox5acS2d1b, 
Oxbf0f7315, 
Ox6as66en4, 
Ox468dde7c, 
OxbeSee304, 
Ox43242ef6, 
Oxba64Sbd6, 
Oxf752f7da, 
0x3b3ee593， 
0x017da67d, 
Ux53588f54c¢, 
Ox283bS7cc, 
Oxe3d35e8c, 
Ox3c90S782, 
Ox26dcf319, 
Oxc20ac9f8, 
0x9320f991, 
Oxc3293d46, 
0x09072166, 
0x10588440, 
Oxbeb4cdd5, 
0x542f5d9e, 
Oxaf537d5c, 
Ox9S983ald, 
0x277227*8, 
OxS5lce7945, 
Oxale’aac?, 
0xc6913667, 
0x27d9459c, 
Oxceb69ceb, 
Qxch03a442, 
OxeOd392dF, 
Qxc37632d8, 
Oxledad891, 
Oxf6fb2299, 


0x647d0862, 
0x0a476341, 
Ox99lbelée, 
Oxf1290dc?7, 
OxadSicfOb, 
0x37392eb3, 
Ox127S4cec, 
Ox1a651018, 
Oxd90ceche, 
Ox9dbc 8057, 
Ox7?745ee04, 
Ox77a057be, 
Oxf474ef38, 
Ox7aeb2661, 
0x8cd55591, 
Oxb77F19b6, 
0x4a995025 ， 
Oxdeb7da83, 
0xag002b5c4 ， 
Oxf0177a28, 
0x53c2dd94 ， 
Dx6f05e409 ， 
Dxlacl5bbd ， 
OxleSdefSe, 
Ox362abfce, 


Ox5cb0679e, 
Oxd62dlc7e, 
Ox5748ab2f, 
Oxd5730aid, 
Oxalfad5f0, 
Oxad5leO3aa, 
0x2826a2T9, 
Ox3f046769, 
Oxe990Fd5a, 
Oxdlcf3ed6, 
Oxe029ac71, 
0xf8456629, 
0x15056dd4, 
Ox9727laec, 
0x7533d928, 
Oxabcec5167, 
Oxea7a90c2, 
0x48de5369, 
Oxb39a4602, 
Oxccd201/f, 
Ox?2eacead, 
Oxaec2771b, 
0x4040cb08, 
Ox06b89Fb4, 
0x611560b1, 
Ox2f32c9b7, 
0x1a908749, 
OxB8df9317c¢c, 
Oxbf97222c, 
Oxc2a86459, 
OxeQecbede, 
Oxd3a03420, 
Oxdf359F8d, 
Oxce6279cf, 
Oxf523F357, 


Oxe7ccf5f0, 
Ox992erT74, 
Oxdb6e650d, 
OxccOOffaa, 
Oxd9155ea3, 
Oxec115979, 
Ox782Zefllc, 
Oxilcaedfa, 
OxdSabea2a, 
OxfOf7cO86, 
Oxd/36feec, 
OxbdeBae24, 
0x8789bdc2， 
OxBblddfa4, 
Oxc902ce4c, 
Qxeda9acd9, 
Oxldbefeld, 
Ox573906fe, 
OxOde6d027, 
OxcOfS586e0, 
Oxc2c21634, 
0x4b7c0188, 
Oxcd39en8fc, 
Oxbléle6fé, 
Oxdde6c837, 


Ox4fa33742, 
Oxc700c47b, 
OxbcS46e75, 
Ox4cd04dc6, 
Ox6a20519a, 
Ox9cf2d0a4, 
Oxa73a3ael, 
Ox77fa0a59, 
Ox9e340797, 
Dx7c7d2d28, 
0xe019a5e6, 
0x79132e28, 
Ox8Bf46dba, 
Oxa93a07Za, 
Oxbissfdf5, 
Oxecacg25f, 
Oxfb3e7nce, 
0x6413e680, 
0x6445c0cd, 
Ox6bo4e3bb, 
Oxfa6484bb, 
Oxf64e6370, 
Ox4eb4e2cc, 
Oxcebead4s, 
Oxe7933fdc, 
Oxadlfbacs, 
Oxd44fbd9a, 
Oxedol2b4f, 
Oxl5e6feza, 
Oxl2baaaci, 
Oxl698db3b, 
Ox8971f2le, 
Ox9b99efZe, 
Oxcd3e7e6F, 
0x36327623, 


0x93a83531, Ox56cccd02, Oxacf08162, Ox5a75ebb5, 0x6e163697, 0x88d273cc, 
0xde966292, 0x81b949d0, 0x4c50901b, 0x71c65614, Oxebcbc7bd, 0x327a140a, 
0x45e1d006, Oxc3f27b9a, Oxc9aa53fd, Ox62a80F00, Oxbb25dfe2, Ox35bdd2f6, 
0x71126905, 0xb2040222, Oxb6cbcf7c, Oxcd769c2b, 0x53113ec0, 0x1640e3d3, 
Ox38abbd60, 0x2547adf0, Oxba38209c, Oxf746ce76, Ox77afalc5, 0x20756060, 
Ox85cbfe4e, Ox8ae88dd8, Ox7aaaf9b0, Ox4cf9aa7e, 0x1948c25c, 0x02fb8a8c, 
Ox01c36ae4, Oxd6ebelf9, Ox90d4f869, OxabScdea0, 0x3f09252d, Oxc208e69F, 
0xb74e6132, Oxce77e25b, Ox578fdfe3, 0x3ac372e6}; 


/* Initialize s-boxes without file read. */ 
for(i=0;1<256; i++) { 
c->S[0][i] = ksOli]; 
c->S[1][i] = ksl[i]; 
c->S[2][i] = ks2[i]; 
c->9[3][i] = ks3[i]; 
} 


ji = O; 
for (i = 0; i < N+ 2; ++i) | 
data = 0x00000000; 
for (k= 0; k < 4; ++k) { 
data = (data << 8) | key[j]; 
Jey 
if (j >= keybytes) { 
J 0; 
} 


} 
c->P[i] = c->PLi] ^ data; 
} 


datal = 0x00000000; 
datar = 0x00000000; 


for (i = 0: ESN #2: 7 += 2) { 
Blowfish_encipher(c,&datal, &datar); 


c->PLi] = datal; 
c->P[i + 1] = datar; 
} 


for (i = 0; i < 4; ++i) { 
tor (Cj = 0; J < 256) J += 12) 4 


Blowfish_encipher(c,&datal, &datar); 


c->SCiJ(j] = datal; 
c->S[i][j + 1] = datar; 


void blf_key(blf_ctx *c, char *k, int len){ 
InitializeBlowfish(c,k,len); 
} 


void blf_enc(blf_ctx *c, unsigned long *data, int blocks){ 
unsigned long *d; 
Tats 1% 


d = data; 

for(i=0;i<blocks;i++) { 
Blowfish_encipher(c,d,d+l); 
d += 2; 


} 


void blf_dec(blf_ctx *c, unsigned long *data, int blocks)! 
unsigned long *d; 
Int 1% 
d = data; 
for(i=0;i<blocks;i++){ 
Blowfish_decipher(c,d,d+l); 


d += 2; 
} 


void main(void){ 
区 | 志和 cz 
char key[ J="AAAAA"; 
unsigned long data[10]; 
int i 


for(i=0;i<10;i++) data[i] = i; 


blf_key(&c,key,5); 

blf_enc(&c,data,5); 

blf_dec(&c,data,1); 

blf_dec(&c ,data+2,4); 

for(i=0;1<10;i+=2) printf("Block %01d decrypts to: %081x %081x.\n", 
i/2,data[i],data[i+1]); 


A.6 3-Way 


#define STRT_E Ox0b0b /* round constant of first encryption round */ 
define STRT_D Oxblbl /* round constant of first decryption round */ 
#define NMBR 11 /* number of rounds is 11 */ 


typedef unsigned long int word32 ; 

/* the program only works correctly if long = 32bits */ 
typedef unsigned long u4; 
typedef unsigned char ul; 


typedef struct { 
u4 k(3],ki[3], ercon{[NMBR+1],drcon(NMBR+1]; 
} twy_ctx; 


/* Note: encrypt and decrypt expect full blocks--padding blocks is 
caller's responsibility. All bulk encryption is done in 
ECB mode by these calls. Other modes may be added easily 
enough. 党 并 


/* destroy: Context. */ 
/* Scrub context of all sensitive data. */ 
void twy_destroy(twy_ctx *); 


/* encrypt: Context, ptr to data block, # of blocks. */ 
void twy_enc(twy_ctx *, u4 *, int); 


/* decrypt: Context, ptr to data block, # of blocks. */ 
void twy_dec(twy_ctx *, u4 *, int); 


/* key: Context, ptr to key data. */ 
void twy_key(twy_ctx *, u4 *); 


/* ACCODE------ + - 20 nnn eee ee nee ee ee ee eee ree ee ee eee ee ee eee *} 
/* End of AC code prototypes and structures. x7 


void mu(word32 *a) 
| 

int i; 

word32 b[3] ; 


bL0] = b[1] = b[2] = 0 ; 
for( i=0 ; 1<32 ; it+ ) 
{ 
BUOY <<= 1 ; DEL] <<= 1 ; b[2] Km 1 ; 
if(a{0]&1) b[2] |= 1 ; 
if(a[1]&1) b[1] |= 1 ; 
if(a[2]&1) b[0] |= 1 ; 
a[0] >>= 1 ; a[l] >>= 1 ; a[2] >>= 1 ; 
} 


alaj = b[0] ; all] = pil] ; al2] = bL2] ; 


} 


void theta(word32 *a) /* the linear step */ 


| 
word32 b[3]; 


/* inverts the order of the bits of a */ 


b[0] = a[0] ^ (a[0]>>16) ^ (a[1]<<16) ^ (a[1]>>16) ^ (a[2]<<16) ^ 
(a[1]>>24) ^ (a[2]<<8) ^ (a[2]>>8) ^ (a[0]<<24) ^ 
(af2]>>16) ^ (al0}<<16) ^ (a[2]>>24) ^ {a[0]<<8) ; 

b[1] = a[l] ^ (a[1]>>16) ^ (a[2]<<16) ^ (a[2]>>16) ^ (a[0]<<16) ^ 
(a[2]>>24) ^ (a{0]<<8) ^ (a[0]>>8) ^ (a[1]<<24) ^ 
(a[0]>>16) ^ (a[1]<<16) ^ (a[0]>>24) ^ (a[1]<<8) ; 

b[2] = a[2] ^ (a[2]>>16) ^ (a[0]<<16) ^ (alQJ>>16) ^ (al1I<<16) ^ 
(a[0]>>24) ^ (a[1]<<8) ^ (a[1]>>8) ^ (a[2]<<24) ^ 
(a[1]>>16) ^ (a[2]<<16) ^ (all]>>24) ^ (al2]<<8)}) ; 

a[0] = b[0] ; a[l] = b[1] ; a[2] = b[2] ; 

} 

void pi_l(word32 *a) 

{ 

a[0] = (a[0]>>10) ^ (al0]<<22); 

aL2] = (a{2)<<1) ^ (a({2]>>31); 

} 

void pi_2(word32 *a) 

{ 

a[0] = (a[0]<<1) ^ (a[0]>>31); 

a[2] = (a[2]>>10) ^ (a[2]<<22); 

} 

void rho(word32 *a) /* the round function my 

{ 

theta(a) ; 

pi_i(a) 4 

gamma(a) ; 

plesetay 4 

} 

void rndcon_gen(word32 strt,word32 *rtab) 

{ /* generates the round constants */ 


inti; 


for(i=0 ; i<=NMBR ; i++ ) 
{ 
rtab[i] = strt ; 
strt <<=1; 


if( strt&0x10000 ) strt ^= 0x11011 ; 
} 
) 


/* Modified slightly to fit the caller's needs. */ 
void encrypt(twy_ctx *c, word32 *a) 
{ 
char i ; 
for( i=0 ; i<NMBR ; i++ ) 
{ 
a[0] ‘= c->k({0] ~ (c->ercon[i}<<16) ; 
Ql] “= c=dKEL) ; 
al2] A= c-SKE2] A e-derconlid 3 
rho(a) ; 
} 
a[0] ^= c->k[0] ^ (c->ercon[NMBR]<<16) ; 
ali] ^= c->KULI 3 
a[2] ^= c->k[2] ^ c->ercon[NMBR] ; 
theta(a) ; 
} 


/* Modified slightly to meet caller's needs. */ 
void decrypt(twy_ctx *c, word32 *a) 

{ 

char 1 3 


mu(a) ; 
for( i=0 ; i<NMBR ; i++ ) 
{ 
ILON *= c->kil0] ^ (c->drcon[i]<<16) ; 
all] “= -e-dkiL1] s 
af2] ^= c->ki[2] * c->drcon[i] ; 
rho(a) ; 
} 
a[0] ^= c->ki[0] ^ (c->drcon[NMBR]<<16) ; 
alld ^= C=>ki fl] g 
a[2] ^= c->kil2] ^ c->drcon(NMBR] ; 
theta(a) ; 
mu(a) ; 
} 


void twy_key(twy_ctx *c, u4 *key){ 


c->ki[0] = c->k[0] = key[0]; 
c->kif1] = c->k[1] = key[1]; 
c->ki [2] = c->k(2] = key([2]; 


theta(c->ki); 

mu(c->ki); 
rndcon_gen(STRT_E,c->ercon); 
rndcon_gen(STRT_D,c->drcon); 


} 


/* Encrypt in ECB mode. */ 

void twy_enc(twy_ctx *c, u4 *data, int blkcnt){ 
u4 *d; 
int 1% 


d = data; 
for(i=0;i<blkent;it++) { 
encrypt(c,d); 
d +=3; 


} 


/* Decrypt in ECB mode. */ 

void twy_dec(twy_ctx *c, u4 *data, int blkcnt){ 
u4 *d; 
int i; 


d = data; 

for(i=0;i<blkent; i++) { 
decrypt(c,d); 
dt=3; 


} 


/* Scrub sensitive values from memory before deallocating. */ 
void twy_destroy(twy_ctx *c){ 
TG 1g 


for(i=0;1<3;i++) c->k[i] = c->kili] = 0; 
} 


void printvec(char *chrs, word32 *d){ 
printf("%20s : %081x %081x %081x \n",chrs,d(2],d{1],d(0]); 
} 


main() 

{ 

twy_ctx gc; 
word32 a[9],k[3]; 
int i; 


/* Test vector 1. */ 


k[0]=k[1]=k[2]=0; 
al0]=a[l]=a[2]=1; 
twy_key(&gc,k); 


pr 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = ",a); 


/* Test vector 2. */ 


k[0]=6;k[1]=5;k[2]=4; 
a[0]=3;a[1]=2;a[2]=1; 
twy_key(&gc,k); 


printi (ese e eRe A? y « 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = ",a); 


/* Test vector 3. */ 


k[2]=0xbcdef012;k[1]=0x456789ab;k[0]=0xdef01234; 
a[2]=0x01234567;a[1]=0x9abcdef0;a[0]=0x23456789 ; 
twy_key(&gc,k); 


NE (opto enna ye) 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 


printvec("CIPHER = ",a); 
/* Test vector 4. */ 


k{2]=Oxcab920cd;k[1]=0xd6144138;k(0J=Oxd2f05b5e; 
a(2]=Oxad2lecf7;a[1]=0x83ae9dc4 ; a[0]=0x4059c76e; 
twy_key(&gc,k); 


pri ntf ( "KKAKKKKKEKEEK\ YH" ) A 
printvec("KEY = ",k); 
printvec("PLAIN = ",a); 
encrypt(&gc,a); 
printvec("CIPHER = ",a); 


/* TEST VALUES 


key : 00000000 00000000 00000000 
plaintext : 00000001 00000001 00000001 
ciphertext : ad2lecf7 83ae9dc4 4059c76e 


key : 00000004 00000005 00000006 
plaintext : 00000001 00000002 00000003 
ciphertext : cab920cd d6144138 d2f05b5e 


key : bedef012 456789ab def01234 
plaintext : 01234567 Yabcdef0 23456789 
ciphertext : 7cdb76b2 9cdddb6d Oaa55dbb 


key : cab920cd d6144138 d2f05b5e 
plaintext : ad2lecf7 83ae9dc4 4059c76e 
ciphertext : 15b155ed 6b13f17c 478ea871 


my 


/* Enc/dec test: */ 

for(i=0;1<9;i++) aLliJ=i; 

twy_enc(&gc,a,3); 

for(i=0;1<9;1+=3) printf("Block 201d encrypts to %081x %081x %081x\n", 
i/3,a[i],a[i+1],a[i+2]); 


twy_dec(&gc,a,2); 
twy_dec(&gc,at+6,1); 


for(i=0;1<9;i+=3) printf("Block %0ld decrypts to %081x %081x %081x\n", 
1/3,aCiJ,aCit+l],ali+2]); 


A.7 RCS 


#Hinclude <stdio.h> 


/* An RC5 context needs to know how many rounds it has, and its subkeys. */ 
typedef struct { 

u4 *xk; 

int nr; 
F Pod et 


/* Where possible, these should be replaced with actual rotate instructions. 
For Turbo C++, this is done with _lrotl and _lrotr. */ 


#define ROTL32(X,C) (((X)<<(C)) | ((X)9>(32-(C)))) 

ddefine ROTR32(X,C) (((X)>>(C)) | (CX) <<(32-(C)))) 

/* Function prototypes for dealing with RC5 basic operation: 
void res_inttGrebvctx *,. ints 


void rc5_destroy(rc5_ctx *); 

vold ineS_keyGres_etx. *, ul *; tnt); 
void rcS_encrypt(rcS5_ctx *, u4 *, int); 
void rcS_decrypt(rc5_ctx *, us *, int); 


/* Function implementations for RC5. */ 


/* Scrub out all sensitive values. */ 
void rcS5_destroy(rc5_ctx *c){ 
wt is 
for(i=0;i<(c->nr)*2+2;i++) C->xk[i]=0; 
free(c->xk); 
} 


/* Allocate memory for rc5 context's xk and such. */ 
void rc5_init(rcS_ctx *c, int rounds) { 

c->nr = rounds; 

c->xk = (u4 *) malloc(4*(rounds*2+2)); 
} 


void rc5_encrypt(rcS_ctx *c, u4 *data, int blocks){ 
u4 *d,*sk; 
int. h isre: 


d = data; 
sk = (c->xk)+2; 
for(h=0;h<blocks;h++) { 
d[0] += c->xk(0]; 
d[1] += c->xk[1]; 
for(i=0;i<c->nr*2; i+=2) { 
d[0] ^= d[1]; 
Pe = dLL} S31 
d[0] = ROTL32(d[0],rc); 
d[0] += sk[i]; 
d[1] ^= d[0]; 
re = d[0] & 31; 
d[1] = ROTL32(d[1],rc); 
d[i] += Skt1+1]; 
/*printf("Round %03d : %081x %2081x sk= %081x 2081x\n",i/2, 
d[0],d[1],sk[i],sk[i+1]);*/ 
} 
d+=2; 
} 
} 


void rcS_decrypt(rc5_ctx *c, u4 *data, int blocks){ 


u4 *d,*sk; 
E Me Te 
d= data; 


sk = (c->xk)+2; 
for (h=0;h<blocks;h++) { 
for(i=c->nr*2-2;i>=0;1-=2) | 
/*printf("Round %03d: %081x %081x sk: %081x %081x\n", 
1/2,d(0J,dC1),skliJ,skCi+l]); wy 
dE1] -= sk{i+1]; 
rc = d{0] & 31; 
d[1] = ROTR32(d[1],rc); 


di1] *= d[0]; 


d(0] -= skli]; 
re = d[1] & 31; 


d[0] = ROTR32(d[0], rc); 
d[0] ^=: d[i]; 
} 


d[0] -= c->xk[0]; 
d[1] -= c->xk[1]; 
d+=2; 
} 
void rcS_key(rc5_ctx *c, ul *key, int keylen){ 
u4 *pk,A,B; /* padded key */ 
int xk_len, pk_len, i, num_steps,rc; 
ul *cp; 


xk_len = c->nr*2 + 2; 
pk_len = keylen/4; 
if((keylen%4)!=0) pk_len += 1; 


pk = (u4 *) malloc(pk_len * 4); 
if(pk==NULL) { 
printf("An error occurred!\n"); 
extt(=1)3 
} 


/* Initialize pk -- this should work on Intel machines, anyway.... */ 
for(i=0;i<pk_len;it++) pk[i]=0; 

cp = (ul *)pk; 

for(i=0;i<keylen;it++) cp[i]=key[i]; 


/* Initialize xk. */ 
c->xk[0] = 0xb7e15163; /* P32 */ 
for(i=l;i<xk_len;i++) c->xkLi] = c->xkLi-1] + 0x9e3779b9; /* 032 */ 


/* TESTING */ 

A=B=0; 

for(i=0;i<xk_len;it++) { 
A= A + c->xk[i]; 
B= B * c->xkLi]; 


/* Expand key into xk. */ 
if(pk_len>xk_len) num_steps = 3*pk_len;else num_steps = 3*xk_len; 


A=B= 0; 
for(i=0;i<num_steps;i++){ 
A = c->xk[i&%xk_len] = ROTL32(c->xkLi%xk_len] + A + B,3); 
re = (A+B) & 31; 
B = pkLi%pk_len] = ROTL32(pklitpk_len] + A + B,rc); 


} 


/* Clobber sensitive data before deallocating memory. */ 
for(i=0;i<pk_len;i++) pk[i] =0; 


free(pk); 
} 


void main(void){ 
COS -CES Cy 


u4 data[8]; 
char key[] = "ABCDE"; 
int 13 


DEINE Ces aana anae Sacre SE eS A NEESS \n"); 


A.8 


for(i=0;i1<8;i++) datali] = i; 
ro5_init(&c,10}; /* 10 rounds */ 
rc5_key(&c, key, 5); 


rc5_encrypt(&c,data,4); 

printf("Encryptions:\n"); 

for(i=0;1<8;i+=2) printf("Block %01d = %081x %081x\n", 
i/2,data[i],data[i+1]); 

rc5_decrypt(&c,data,2); 

rc5_decrypt(&c,datat+4,2); 

printf("Decryptions:\n"); 

for(i=0;i1<8;i+=2) printf("Block 401d = 4081x %081x\n", 
i/2,data[i],data[i+1]); 


AS 


typedef struct { 
unsigned long rl,r2,r3; 
} a5_ctx; 


static int threshold(rl, r2, r3) 
unsigned int rl; 

unsigned int r2; 

unsigned int r3; 

{ 

int total; 


total = (((rl >> 9) & 0x1) == 1) + 
(((r2 >> 11) & 0x1) == 1) + 
CE3 >> 110 & 0x1) Ls 


if (total #1) 
return (0); 
else 
return (1); 
} 


unsigned long clock_rl(ctl, rl) 
WNL Gts 

unsigned long rl; 

{ 

unsigned long feedback; 


et] = (CFT 33 9) & 0x; 
if (ctl) 
{ 
feedback = (r1 >> 18) ~ (r1 >> 17) ^ (rl >> 16) ^ (rl >> T3): 
rl = (ri << E) & OxitffTz 
if (feedback & 0x01) 
rl *= 0x01; 
} 
return (rl); 


| 


unsigned long clock_r2(ctl, r2) 
int. ctl; 

unsigned long r2; 

{ 

unsigned long feedback; 


ctl ^= (Cre >> 11) & el 3s 


if (ctl) 

{ 
feedback = (r2 >> (21) $ (r2 >> 20) = tre >> 16) ® (r2 53 12); 
r2 = (r2 << 1) & Ox3ffffF; 


if (feedback & 0x01) 
r2 ^= 0x01; 
} 
return (r2); 
} 


unsigned long clock_r3(ctl, r3) 
int ctl; 

unsigned long r3; 

l 

unsigned long feedback; 


ctl *= ((r3 >> 11) & 0x1); 
if <etl) 
{ 
feedback = (r3: >> 22) * (r3 3321) * (rd: >> 183 * (r3 >> 17); 
r3 = (r3 << T) & Ox7FFFFF; 
if (feedback & 0x01) 
r3 ^= 0x01; 
} 
return (r3); 
| 
int keystream(key, frame, alice, bob) 
unsigned char *key; /* 64 bit session key #7 
unsigned long frame; /* 22 bit frame sequence number ed 
unsigned char *alice; /* 114 bit Alice to Bob key stream */ 
unsigned char *bob; /* 114 bit Bob to Alice key stream */ 
{ 
unsigned long rl; /* 19 bit shift register */ 
unsigned long r2; /* 22 bit shift register */ 
unsigned long r3; /* 23 bit shift register */ 
int i; /* counter for loops ww 
int clock_ctl; /* xored with clock enable on each shift register */ 
unsigned char *ptr; /* current position in keystream */ 
unsigned char byte; /* byte of keystream being assembled */ 
unsigned int bits; /* number of bits of keystream in byte */ 
unsigned int bit; /* bit output from keystream generator */ 


/* Initialise shift registers from session key */ 


rl = (key[0] | (key[1] << 8) | (key[2] << 16) ) & Ox7ffff; 

r2 = ((key[2] >> 3) | (key[3] << 5) | (key[4] << 13) | (key[5] << 21)) & 
0x3fffff ; 

r3 = ((key[5] >> 1) | (key[6] << 7) | (key[7] << 15) ) & 0x7fffff; 


/* Merge frame sequence number into shift register state, by xor'ing it 
* into the feedback path 
*/ 
for (i1=0;1<22; i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, rl); 
r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 
if (frame & 1) 
| 
Ri: 46-13 
re te: E- 


FS 
} 
frame = frame >> 1; 
} 


/* Run shift registers for 100 clock ticks to allow frame number to 
* be diffused into all the bits of the shift registers 
*/ 


for (1=0;1<100;i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, rl); 
r2'= clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ct], r3); 
} 


/* Produce 114 bits of Alice->Bob key stream */ 
ptr = alice; 
bits = 0; 
byte = 0; 
for (1=0;1<114; i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 


rl = clockurliclock.ctl,,, rl); 
r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 


bit = ((rl >> 18) * (r2 >> 21) ^ (r3 >> 22)) & Ox0l; 
byte = (byte << 1) | bit; 
bitst++; 
if (bits == 8) 
{ 
*ptr = byte; 
ptr++; 
bits = 0; 
byte = 0; 
} 
} 
if (bits) 
*ptr = byte; 


/* Run shift registers for another 100 bits to hide relationship between 
* Alice->Bob key stream and Bob->Alice key stream. 
xf 


for (i=0;i<100;i++) 
{ 
clock_ct] = threshold(rl, r2, r2); 


rl = clock ricelock_ ctl, 1); 
r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 


} 
/* Produce 114 bits of Bob->Alice key stream */ 


ptr = bob; 

bits = 0; 

byte = 0; 

for (i=0;1¢114; i++) 

{ 
clock_ct] = threshold(rl, r2, r2); 
rl = clock_rl(clock_ctl, rl); 


r2 = clock_r2(clock_ctl, r2); 
r3 = clock_r3(clock_ctl, r3); 


bit = ((r1 >> 18) ^ (r2 >> 21) * (r3 >> 22)) & 0x01; 
byte = (byte << 1) | bit; 
bitst++; 
if (bits == 8) 
{ 
*ptr = byte; 
ptr+t+; 
bits = 0; 
byte = 0; 
} 
} 
if (bits) 
*ptr = byte; 


return (0); 
} 


void a5_key(a5_ctx *c, char *k){ 


c->rl = kK[0]<<11|k[1]<<3 | k[2]>>5 ; /* 19 */ 
c->r2 = k[2]<<17|k[3]<<9 | kL4]<<1 | k[5]>>7; /* 22 */ 
c->r3 = k[5]<<15|k[6]<<8 | k[7] ; /* 23 */ 


/* Step one bit in A5, return 0 or l-as output bit. */ 
int a5_step(a5_ctx *c){ 

“int control; 

control = threshold(c->rl,c->r2,c->r3); 

c->rl = clock_rl(control,c->rl); 

c->r2 = clock_r2(control,c->r2); 

c->r3 = clock_r3(control,c->r3); 

return( (c->rlc->r2%c->r3)&1); 
} 


/* Encrypts a buffer of len bytes. */ 

void a5_encrypt(a5_ctx *c, char *data, int len){ 
int i,j; 
char t; 


for(i=0;i<len; i++) { 
for(j=0;j<8;j++) t = t<<1 | aS_step(c); 
data[i]^=t; 


void a5_decrypt(a5_ctx *c, char *data, int len){ 
a5_encrypt(c,data,len); 
} 


void main(void){ 
a5_ctx cs 
char data[100]; 
char key[] = {1,2,3,4,5,6,7,8}; 
int i,flag; 


for(i=0;1<100;i++) data[i] = i; 


a5_key(&c, key); 
a5_encrypt(&c,data,100); 
a5_key(&c, key); 
ad5_decrypt(&c,data,1); 


a5_decrypt(&c,datatl,99); 

flag = 0; 

for(i=0;1<100;i++) if(dataLi]!=i)flag = 1; 

if(flag)printf("Decrypt failed\n"); else printf("Decrypt succeeded\n"); 


A9 SEAL 


#undef SEAL_DEBUG 


#define ALG_OK 0 
#define ALG_NOTOK 1 
#define WORDS PER_SEAL_CALL 1024 


typedef struct [ 
unsigned long t[520]; /* 512 rounded up to a multiple of 5 + 5*/ 
unsigned long s[265]; /* 256 rounded up to a multiple of 5 + 5*/ 
unsigned long r{20]; /* 16 rounded up to multiple of 5 */ 
unsigned long counter; /* 32-bit synch value. */ 
unsigned long ks_buf[WORDS_PER_SEAL_CALL]; 
int ks_pos; 
} seal_ctx; 


#define ROT2(x) (((x) >> 2) | ((x) << 30)) 
#define ROT9(x) (((x) >> 9) | (C(x) << 23)) 
#define ROT8(x) (((x) >> 8) | ((x) << 24)) 
#define ROT16(x) (((x) >> 16) | ((x) << 16)) 
#define ROT24(x) (((x) >> 24) | ((x) << 8)) 
#define ROT27(x) (((x) >> 27) | ((x) << 5)) 


#define WORD(cp) ((cp[0] << 24)|(cp1] << 16)|(cpl2] << 8)|(cp[3])) 


#define Fl(x, Y, Z) (((x) & (y)) | CCI) & (2))) 

#define F2(x, y, z) ((x)*(y)4(z)) 

#define F3(x, y, z) (((x) & (y)) | ((x) & (z)) | (Cy) & (z))) 
#define F4(x, y, z) ((x)*(y)4(z)) 


ine Cm ts iA) 
unsigned char *in; 
Int: Ts 

unsigned long *h; 

| 

unsigned long h0; 
unsigned long hl; 
unsigned long h2; 
unsigned long h3; 
unsigned long h4; 
unsigned long a; 
unsigned long b; 
unsigned long c; 
unsigned long d; 
unsigned long e; 
unsigned char *kp; 
unsigned long w[80]; 
unsigned long temp; 


kp = in; 

nO = WORD( kp); kp += 
WORD( kp); kp += 
h2 = WORD(kp); kp += 
WORD( kp); kp += 
WORD( kp); kp += 


= = Fi 
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w[0] = i; 
for (i=1;1<16; i++) 
wli] = 0; 
for (i=16;1<80;i1++) 
w[i] = wli-3]*wli-8]4wli-14]*wli-16]; 


a = h0; 
b = hl; 
€ he; 
d = h3; 
e= h4; 


for (i=0;i<20;i++) 


emp = ROT27(a) + Fl(b, c, d) + e + w[i] + 0x5a827999; 
d; 

oH 

ROT2(b); 

a; 
temp; 


oon aA Ow er 


i] 


for (1=20;1<40; i++) 


temp = ROT27(a) + F2(b, c, d) + e + w[i] + Ox6ed9ebal; 
e=d; 

d= C; 
c 
b 
a 


1 


ROT2 (b); 
= temp; 


for (i=40;i¢60;i++) 
mp = ROT27(a) + F3(b, c, d) + e + w[i] + Ox8flbbcdc; 


te 

e =d; 
d = C; 
i 
b 
a 


ROT2(b); 
a; 
temp; 


for (i=60;1<80; i++) 


temp = ROT27(a) + F4(b, c, d) + e + w[i] + Oxca62cld6; 


e = ds 

d C3 

c = ROT2(b); 

b= a; 

a = temp; 
} 
h[0] = hO+a; 
h[1] = hl+b; 
h[2] = h2+c; 
h(3] = h3+d; 
h[4] = h4te; 


return (ALG_OK); 
} 
unsigned long gamma(a, i) 
unsigned char *a; 
int 7; 
{ 
unsigned long h[5]; 


(void) g(a, i/5, h); 
return h[i % 5]; 
} 


int seal_init(seal_ctx *result, unsigned char *key) 
{ 

Wnt is 

unsigned long h[5]; 


for (i=0;1<510;i+=5) 

g(key, i/5, &(result->tLli])); 
/* horrible special case for the end */ 
g(key, 510/5, h); 
for (1=510;1¢512;i++) 

result->t{i] = h[i-510]; 
/* 0x1000 mod 5 is +1, so have horrible special case for the start */ 
g(key, (-1+0x1000)/5, h); 
for (i=0;1<4; i++) 

result->sCi] = h[i+1]; 
for (i=4;1<254;i+=5) 

g(key, (1+0x1000)/5, &(result->s{i])); 
/* horrible special case for the end */ 
g(key, (254+0x1000)/5, h); 
for (i=254;1<256;i++) 

result->sCi] = h[i-254]; 
/* 0x2000 mod 5 is +2, so. have horrible special case at the start */ 
g(key, (-2+0x2000)/5, h); 
for (i=0;1<3; i++) 

result->r[i] = h[i+2]; 
for (i=3;i<13;i+=5) 

g(key, (i+0x2000)/5, &(result->r[i])); 
/* horrible special case for the end */ 
g(key, (13+0x2000)/5, h); 
for (i=13;1<16; i++) 

result->r[i] = h[i-13]; 
return (ALG_OK); 


int seal(seal_ctx *key, unsigned long in, unsigned long *out) 

{ 

int i; 

int j; 

int: hs 

unsigned long a; 

unsigned long b; 

unsigned long C; 

unsigned long d; 

unsigned short p; 

unsigned short q; 

unsigned long nl; 

unsigned long n2; 

unsigned long n3; 

unsigned long n4; 

unsigned long *wp; 
wp = out; 


for (1=0;1<4;1++) 

{ 

= in ~ key->r[4*1]; 

= ROT8(in) ^ key->r[4*1+1]; 
= ROT16(in) ^ key->r[4*1+2]; 
= ROT24(in) ^ key->r[4*1+3]; 


AanNTS 


for (j=0;j<2; j++) 

{ 
p =a & Ox/fc; 
b += key->t[p/4]; 
a = ROT9(a); 


p = b & Ox7fc; 
c += key->t[p/4]; 
b = ROT9 (b); 


p= c & Ox7fc; 
d += key->t[p/4]; 
c = ROT9(c); 


p= d & 0x7fc; 
a += key->t[p/4]; 
d = ROT9(d); 


} 


nl = d; 

n? = b; 

n3 = a; 

n4 = c; 

p= a & 0x7fc; 

b += key->t[p/4]; 
a = ROT9(a); 
p=b & Ox7fc; 

c += key->t[p/4]; 
b = ROT9(b); 

p=c & Ox7fc; 

d += key->t[p/4]; 
c = ROTO (C); 


p= d & Ox7fc; 
a += key->t[p/4]; 
= ROT9(d); 


a 


/* This generates 64 32-bit words, or 256 bytes of keystream. 


for (1=0;1<64; i++) 

{ 

=a & Ox/fc; 
+= key->t[p/4]; 
= ROT9(a); 


^= a; 


CC 总 


= b & Ox7fc; 

‘= key->t[q/4]; 
= ROT9(b); 

+= b; 


o TOB 


= (p+c) & 0x7fc; 
+= key->t[p/4]; 
= ROT9(c); 


Ac Gi 


G 0O ATV 


= (q+d) & Ox7fc; 
^= key->t[q/4]; 
= ROTI(d); 

+= d; 


D Rb- 


tf 


p = (pta) & Ox7fc; 
b ^= key->t[p/4]; 
a = ROT9(a); 


q = (qtb) & 0x7fc; 
c += key->t[q/4]; 
b = ROT9(b); 


p = (ptc) & Ox7fc; 
d ^= key->t[p/4]; 
c = ROTO (c); 


q = (q+d) & Ox7fc; 
a += key->t[q/4]; 
d = ROT9(d); 


*wp = b + key->s[4*i]; 
wpt+; 

two = c ^ key->s[4*i+1]; 
WD++; 

two = d + key->s[4*i+2]; 
wp++; 

*wp = a ^ key->s([4*i+3]; 
wpt+; 


TORD 

{ 
a t= 13% 
c += n4; 


a += nl; 
c += n2; 


} 
return (ALG_OK); 
} 
/* Added call to refill ks_buf and reset counter and ks_pos. */ 
void seal_refill_buffer(seal_ctx *c){ 
seal(c,c->counter,c->ks_buf); 
c->counter++; 
c->ks_pos = 0; 


} 

void seal_key(seal_ctx *c, unsigned char *key){ 
seal_init(c,key); 
c->counter = 0; /* By default, init to zero. */ 
c->ks_pos = WORDS_PER_SEAL_CALL; 


/* Refill keystream buffer on next call. */ 


/* This encrypts the next w words with SEAL. */ 


void seal_encrypt(seal_ctx *c, unsigned long *data_ptr, int w){ 
Tit T? 


for(i=0;i<w; itt) { 
if(c->ks_pos>=WORDS_PER_SEAL_CALL) seal_refil]_buffer(c); 
data_ptr[i]*=c->ks_buf[c->ks_pos]; 
C->kKS_post+; 


void seal_decrypt(seal_ctx *c, unsigned long *data_ptr, int w) { 
seal_encrypt(c,data_ptr,w); 
} 


void seal_resynch(seal_ctx *c, unsigned long synch_word) { 
c->counter = synch_word; 
c->ks_pos = WORDS_PER_SEAL_CALL; 

} 


void main(void) { 
seal_ctx sc; 
unsigned long buf[1000],t; 
int i,fleg: 
unsigned char key[] = 
{Oy leo eh haf 5901011 32513504 lS 6 1/518, 91} 


printf EN ds 

seal_key(&sc, key); 

printf("2\n"); 

for(i=0;1<1000;i++) buf[i]=0; 

printr( "3\Ar dy; 

seal_encrypt(&sc, buf ,1000); 

printf("4\n"); 

t = 0; 

for(i=0;1<1000;i++) t = t ^ buf[i]; 
printf("XOR of buf is %08]x.\n",t); 


seal_key(&sc,key); 
seal_decrypt(&sc,buf,1); 
seal_decrypt(&sc, buf+l , 999); 

flag = 0; 

for(i=0;1<1000;i++) if(bufli]!=0)flag=1; 
if(flag) printf("Decrypt failed.\n"); 
else printf("Decrypt succeeded.\n"); 
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Matt Blaze ik 


密码 研究 (广义 上 ， 也 包括 本 书 在 内 〉 最 危险 的 一 个 方面 是 它 几 乎 
可 以 被 有 度量。 密 角 长度、 因子 分 解 的 方法 以 及 密码 分 析 技 术 的 知识 使 得 
估算 在 不 知道 密码 设计 的 真正 原理 的 情况 下 〉 用 于 破译 一 个 特定 密 文 
所 需 的 “工作 因子 ”成 为 可 能 。 我 们 很 容易 错误 地 运用 这 些 估 算 方法 ， 好 
像 它 们 惑 是 应 用 系统 的 全 部 安全 度量 准则 。 现 实 世 界 提供 给 攻击 者 丰富 
的 选择 ， 而 不 仪 仅 是 密码 分 析 。 通 党 更 令 人 担忧 的 是 协议 攻击 、 特 洛 伊 
森马、 病毒、 电磁 监视 、 物 理 损害 、 黑 色 邮 件 、 胁 迫 密 钥 持 有 者 、 操 作 
系统 漏 调 、 应 用 程序 漏洞 、 硬 件 漏洞 、 用 户 错 误 、 物 理 禄 听 、 社 交 公 关 
等 ， 不 胜 枚 举 。 








高 质量 的 密码 和 协议 是 重要 的 工具 ， 但 它们 本 号 并 不 能 代 丛 现实 
的 、 挑 剔 的 关于 实际 上 保护 的 是 什么 东西 ， 以 及 不 同 的 防御 措施 怎样 可 
能 失效 的 思考 〈 毕 竟 ， 攻 击 者 很 少将 自己 局 限于 学 术 领 域 中 规则 的 、 民 
好 定义 的 攻击 模式 ) 。Ross Anderson 提 供 了 一 个 很 强 的 密码 系统 的 例子 
(银行 业 中 的 ) ， 当 其 暴露 在 现实 世界 的 威胁 中 时 失效 了 H 44) 
甚至 在 攻击 者 只 能 访问 密 文 的 情况 下 ， 系 统 其 他 部 分 的 微小 漏洞 似乎 都 
有 可 能 泄露 足够 的 信息 致使 良好 的 密码 系统 失效 。 第 二 次 世界 大 战 中 ， 
盟 军 通过 仔细 分 析 操 作 员 的 错误 而 破译 了 德国 的 恩 尼 格 马 [15871 。 














有 一 位 NSA 的 熟人 ， 当 被 问 及 政府 是 否 能 够 破解 DES 通 信 数 据 时 ， 


他 咀 讽 地 说 ， 实 际 的 系统 很 不 安全 ， 他 们 从 来 都 不 必 操 这 份 心 。 不 羊 的 
是 ， 没 有 一 种 简单 的 办 法 来 使 一 个 系统 变 得 安全 ， 唯 有 进行 仔细 的 设计 
和 挑剔 的 审查 。 好 的 加 密 系 统 具 有 这 样 一 种 特性 : 它 会 给 攻击 者 带 来 比 
合法 用 户 大 得 多 的 麻烦 ， 但 在 计算 机 和 通信 安全 方面 几乎 有 半数 的 情况 
并 不 是 这 样 。 考 虑 下 面 列 出 的 还 很 不 完整 )“ 现 实 系统 安全 的 十 大 威 
胁 ”， 所 有 情况 都 是 攻击 容易 、 防 护 难 。 


C1) 令 人 遗憾 的 软件 状态 。 每 个 人 都 知道 没有 人 知道 如 何 写 软 
件 。 现 代 的 系统 很 复杂 ， 有 数 十 万 行 代码 ， 它 们 中 的 任何 一 行 都 有 可 能 
危及 安全 性 。 软 件 安全 部 分 的 致命 漏洞 其 全 可 能 是 难以 消除 的 。 








(2) 低 效 的 针对 拒绝 服务 攻击 的 保护 。 有 些 密码 协议 允许 匿名 方 
式 。 如 果 匿 名 协议 增加 了 不 可 识别 的 破坏 者 破坏 服务 的 机 会 ， 实 施 这 样 
的 协议 就 特别 危险 。 因 此 匿名 系统 尤其 需要 能 够 抵抗 拒绝 服务 攻击 。 坚 
回 的 系统 更 能 轻松 地 文 持 匿 名 方式 ， 考 虑 下 面 这 种 情况 : 几乎 没有 人 担 
心 像 电 话 系 统 或 邮政 系统 这 样 非 第 强健 的 网 络 上 的 数 百 万 的 匿名 入 口 
点 ， 在 这 样 的 网 络 中 ， 对 个 人 来 说 要 造成 大 规模 的 故障 相对 比较 困难 
(或 昂贵 ) o 





(3) 没有 地 方 存 放 秘 密 。 加 密 系统 用 小 秘密 ( 密 钥 ) 保护 大 秘 
密 。 不 六 的 是 ， 现 代 计 算 机 并 不 特别 适 于 保护 哪怕 最 小 的 秘密 。 多 个 用 
户 的 联网 工作 站 可 能 被 部 入 ， 使 它们 的 存储 器 丧失 安全 性 。 愉 外 ， 单 个 
用 户 的 机 器 可 能 被 盗 或 者 由 于 异步 泄露 秘密 的 病毒 而 丧失 安全 性 。 不 能 








让 用 户 输入 口令 短语 的 远程 服务 器 《参见 威 肋 5) 是 一 个 特别 严重 的 问 


jel 





(4) 糟糕 的 随机 数 产 生 。 密 钥 和 会 话 变 量 需要 有 良好 的 不 可 预测 
的 位 来 源 。 一 台 运 行 的 计算 机 里 有 大 量 信息 ， 但 很 少 提供 应 用 程序 以 方 
便 或 可 靠 的 方式 来 利用 它 。 大 量 技术 已 经 计划 用 软件 得 到 真正 的 随机 数 
(利用 如 I / 0 间隔 定时 、 时 钟 和 定时 器 的 偏差 、 其 至 磁盘 封装 内 的 气 沉 
等 事物 的 不 可 预测 性 ) ， 但 所 有 这 些 方 法 都 对 应 用 环境 的 轻微 变化 十 分 
敏感 。 














(5) 弱 口 令 短语 。 大 多 数 密码 软件 引起 了 密 钥 存储 和 密 钥 产生 的 
问题 ， 它 们 依赖 用 户 产 生 的 口令 短语 字符 串 ， 这 些 字符 串 被 假定 为 具有 
足够 的 不 可 预知 性 ， 以 产生 好 的 密 铀 ， 并 且 好 记 ， 不 需要 安全 存储 。 虽 
然 短 口令 字 的 字典 攻击 已 成 为 著名 的 问题 ， 但 关于 针对 用 户 选 择 的 基于 
口令 短语 密 钥 的 攻击 方式 还 知之 甚 少 。Shannon 告 诉 我 们 ， 英 文 文本 每 
字符 仅 含有 1 位 多 的 燃 值 ， 口 令 短 语 似 乎 能 在 穷 举 搜索 的 范围 内 保存 完 
好 。 然 而 ， 对 利用 这 一 点 来 枚 举 口 令 短语 的 好 技术 了 解 太 少 。 在 我 们 对 
如 何 攻击 口令 短语 有 一 个 较 好 的 认识 之 前 ， 我 们 无 从 得 知 口令 短语 到 底 
有 多 强 或 多 弱 。 








(6) 不 合 要 求 的 信任 关系 。 几 乎 所 有 现成 的 密码 软件 都 假定 用 户 
直接 控制 软件 运行 的 系统 ， 并 且 可 以 安全 地 访问 它 。 例 如 ， 类 似 PGP 的 
程序 界面 假定 它们 的 口令 短语 总 是 由 用 户 通 过 一 条 安全 的 路 径 输 入 ， 如 





本 地 控制 合 。 这 当然 不 总 是 实际 情况 ， 考 夸 这 样 一 种 情况 : 通过 网 络 连 
接 登 录 ， 阅 读 加 和 密 邮 件 带 来 的 问题 。 系 统 设计 者 假定 的 信任 关系 可 能 3 
不 符合 实际 用 户 的 要 求 或 期 望 ， 特 别 是 能 通过 不 安全 的 网 络 对 软件 进行 
控制 的 时 候 。 





D 没有 正确 理解 的 协议 与 服务 的 相互 作用 。 随 着 系统 变 得 越 来 
越 大 ， 越 来 越 复杂 ， 良 性 的 特性 常常 反 过 来 困扰 我 们 ， 当 出 现 故障 时 其 
至 很 难 知道 应 该 检查 哪里 。 因 特 网 晴 虫 就 是 通过 邮件 发 送 程序 中 一 个 不 
明显 的 、 看 起 来 没什么 问题 的 特性 传播 的 。 到 底 还 有 多 少 其 他 程序 中 的 
多 少 其 他 特性 会 带 来 不 可 预期 的 结果 呢 ? 这 个 问题 正 等 待 我 们 去 回答 。 











(8) 非 现 实 的 威 肋 和 风险 评估 。 安 全 专家 倾 癌 于 把 注意 力 集中 在 
那些 他 们 知道 如 何 建 模 和 防御 的 威胁 上 。 不 幸 的 是 ， 攻 击 者 却 把 注意 力 
集中 在 他 们 知道 如 何 利 用 的 东西 上 。 而 这 两 者 通常 并 不 完全 一 9 臻 。 太 
多 “安全 ?系统 并 没有 考虑 攻击 者 实际 上 可 能 怎么 做 就 被 设计 出 来 了 。 


(9) 使 安全 功能 变 得 昂贵 和 特殊 的 接口 。 如 果 要 使 用 安全 特性 ， 
它们 束 必 须 足 够 方便 和 透明 ， 以 便 用 户 实际 使 用 。 容 易 设计 出 牺牲 了 性 
能 或 易 用 性 的 加 密 机 制 ， 甚 至 更 容易 设计 出 引入 了 错误 的 机 制 。 关 闭 安 
全 功能 应 该 比 打开 安全 功能 更 困难 。 不 幸 的 是 ， 很 少 有 系统 按 这 种 方式 
工作 。 





(10) 没有 对 安全 功能 的 广泛 需求 。 几 乎 在 所 有 靠 销 售 安全 产品 僵 


利 的 人 中 ， 这 是 一 个 众所周知 的 问题 。 如 采 对 透明 安全 功能 没有 广泛 的 
再 求 ， 文 持 它 的 工具 和 基础 设施 对 于 许多 应 用 来 说 都 会 比较 昂 贯 ， 高 不 
可 欧 。 在 一 定 程度 上 ， 这 是 一 个 理解 和 暴露 现实 应 用 的 威胁 和 风险 的 问 
题 ， 也 是 一 个 不 能 将 系统 设计 成 把 安全 功能 作为 一 个 基本 特征 ， 而 不 是 
作为 以 后 的 添加 部 件 的 问题 。 











就 这 些 类 型 的 威胁 做 更 完备 的 罗列 和 讨论 会 很 轻松 地 填 满 如 本 书 一 
样 厚 的 书 ， 而 且 还 只 能 涉及 表面 。 它 们 之 所 以 特别 困难 和 人 危险 的 原因 
是 ， 要 想 避 开 它 们 ， 除 了 民 好 的 工程 设计 和 进行 详细 的 审查 外 并 没有 什 
么 魔法 。 对 有 抱负 的 密码 学 家 的 忠告 是 瞄准 密码 技术 的 极限 。 


Matt Blaze 


纽约 ，NY 


